Systemes vulnerables

Christophe Casalegno
Christophe CasalegnoConférencier / consultant à Digital Network
Les systèmes vulnérables Christophe Casalegno Groupe Digital Network
Systèmes vulnérables « Tous les systèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au mieux un ignorant, et au pire un escroc » Christophe Casalegno
Systèmes vulnérables POURQUOI ?
Systèmes vulnérables Il est facile de comprendre pourquoi : - Les composants sont imaginés par des humains - Les ordinateurs sont imaginés par des humains - Les systèmes d'exploitation sont imaginés par des humains - Les protocoles sont imaginés par des humains - Les machines qui les fabriques sont imaginées par des humains... Les humains sont imparfaits La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
Systèmes vulnérables LA CHAÎNE DE VULNERABILITES
Systèmes vulnérables LE PREMIER MAILLON La conception
Systèmes vulnérables LE SECOND MAILLON La fabrication
Systèmes vulnérables LE TROISIEME MAILLON L'installation
Systèmes vulnérables L'installation d'un système reste aujourd'hui encore l'une des clef de voûte de sa sécurité. Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc. Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement. Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
Systèmes vulnérables LE QUATRIEME MAILLON La configuration
Systèmes vulnérables C'est à cette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc. Plus de 90 % des erreurs sont commises à cette étape. La configuration d'un système d'information ne doit jamais être faite au hasard. Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
Systèmes vulnérables Les erreurs pouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de : - l'absence / le non respect de la classification de l'information - l'absence / le non respect de la politique de sécurité - l'absence / le non respect des procédures d'installation - l'absence / le non respect de la composante sécurité des procédures - le manque de documentation concernant les applications à déployer - le manque de formation adaptée intégrant la composante sécurité
Systèmes vulnérables LE CINQUIEME MAILLON L'exploitation
Systèmes vulnérables Avoir un système d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile. La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur. De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité. Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
Systèmes vulnérables Chaque instant qui passe influence la sécurité du système d'information. Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo. Le cracker, le pirate qui souhaite pénétrer un système a tout son temps. Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
Systèmes vulnérables Il ne faut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable. La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions : - rares - difficiles - rapidement détectées - compartimentées
Systèmes vulnérables LES MECANISMES DE SECURITE Les règles de la sécurité physique ne s'appliquent pas aux systèmes d'information
Systèmes vulnérables Quand on s'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié : 1) Le disque dur est dans un coffre 2) Le coffre est dans une chambre forte 3) La chambre forte est dans un bâtiment sécurisé 4) Le bâtiment est entouré d'une enceinte sécurisée Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
Systèmes vulnérables Dans un système d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple : - Sécurité par l'hôte - Sécurité par le réseau - Identification / authentifications multiples - Contrôle de l'intégrité des données - Haute disponibilité - Non répudiation des données Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.
1 sur 19

Systemes vulnerables

Télécharger pour lire hors ligne
Technologie

Sécurité de l'information : les systèmes vulnérables. Pourquoi tous les systèmes d'information sont vulnérables ?

Christophe Casalegno
Christophe CasalegnoConférencier / consultant à Digital Network

Recommandé

Sécurite operationnelle des systèmes d'information Volet-1 par
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
1.5K vues89 diapositives
Sécurite operationnelle des Systèmes d'Information Volet-2 par
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2PRONETIS
1.5K vues211 diapositives
Sécurité des systèmes d’information industriels par
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
2.1K vues45 diapositives
Sécurite opérationnelle des Système d'Information Volet-3 par
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
1K vues60 diapositives
Gouvernance de la sécurite des Systèmes d'Information Volet-1 par
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
4.4K vues148 diapositives
Le guide de l'hygiène informatique par
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatiqueNRC
716 vues50 diapositives

Contenu connexe

Tendances

Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014 par
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014polenumerique33
2.1K vues36 diapositives
Ree cybersecurite par
Ree cybersecuriteRee cybersecurite
Ree cybersecuritesidomanel
717 vues17 diapositives
ANSSI - fiche des bonnes pratiques en cybersécurité par
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
2.2K vues2 diapositives
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig... par
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
4.8K vues15 diapositives
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques par
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
3.5K vues33 diapositives
Guide d'hygiène informatique - ANSSI - 2014 par
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
3K vues52 diapositives

Tendances(15)

Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014 par polenumerique33
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
polenumerique332.1K vues
Ree cybersecurite par sidomanel
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
sidomanel717 vues
ANSSI - fiche des bonnes pratiques en cybersécurité par polenumerique33
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
polenumerique332.2K vues
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig... par Eric DUPUIS
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS4.8K vues
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques par Cyber Security Alliance
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Cyber Security Alliance3.5K vues
Guide d'hygiène informatique - ANSSI - 2014 par polenumerique33
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique333K vues
Bq101 g formation-ibm-security-qradar-siem-foundations par CERTyou Formation
Bq101 g formation-ibm-security-qradar-siem-foundationsBq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundations
CERTyou Formation277 vues
Secur formation-securite-systemes-et-reseaux par CERTyou Formation
Secur formation-securite-systemes-et-reseauxSecur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseaux
CERTyou Formation94 vues
Intelligence économique : Le monitoring par Khalifa Tall
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall909 vues
Detection des-incidents-de-securite-1036-k8qjjj par TchadowNet
Detection des-incidents-de-securite-1036-k8qjjjDetection des-incidents-de-securite-1036-k8qjjj
Detection des-incidents-de-securite-1036-k8qjjj
TchadowNet9 vues
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati... par CERTyou Formation
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
CERTyou Formation75 vues
Architecture de sécurité en environnement Microsoft Windows par Christian Toinard
Architecture de sécurité en environnement Microsoft WindowsArchitecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft Windows
Christian Toinard297 vues
Cours CyberSécurité - Infrastructures Critiques par Franck Franchin
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin2.4K vues
Ssi par Hanae Guenouni
SsiSsi
Ssi
Hanae Guenouni1.1K vues
F-Secure Business Suite par NRC
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
NRC331 vues

En vedette

Social Media für Unternehmen (Stand: Mai 2012) par
Social Media für Unternehmen (Stand: Mai 2012)Social Media für Unternehmen (Stand: Mai 2012)
Social Media für Unternehmen (Stand: Mai 2012)Christian Möller
712 vues162 diapositives
el chavo par
el chavo el chavo
el chavo yeferson201
542 vues10 diapositives
Situaciones de aprendizaje en ambientes virtuales par
Situaciones de aprendizaje en ambientes virtualesSituaciones de aprendizaje en ambientes virtuales
Situaciones de aprendizaje en ambientes virtualesrafael_mtz_mtz
731 vues10 diapositives
Sistemasoperativos par
SistemasoperativosSistemasoperativos
Sistemasoperativosgciayasminsalirrosascarbajal
119 vues8 diapositives
Telecommande bft-brcb-tx2 par
Telecommande bft-brcb-tx2Telecommande bft-brcb-tx2
Telecommande bft-brcb-tx2SPAREKA
772 vues16 diapositives
Tilaaja tuottaja-seminaari Juhani Lehto par
Tilaaja tuottaja-seminaari Juhani LehtoTilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani LehtoTilTu-seminaari
333 vues11 diapositives

En vedette(20)

Social Media für Unternehmen (Stand: Mai 2012) par Christian Möller
Social Media für Unternehmen (Stand: Mai 2012)Social Media für Unternehmen (Stand: Mai 2012)
Social Media für Unternehmen (Stand: Mai 2012)
Christian Möller712 vues
el chavo par yeferson201
el chavo el chavo
el chavo
yeferson201542 vues
Situaciones de aprendizaje en ambientes virtuales par rafael_mtz_mtz
Situaciones de aprendizaje en ambientes virtualesSituaciones de aprendizaje en ambientes virtuales
Situaciones de aprendizaje en ambientes virtuales
rafael_mtz_mtz731 vues
Sistemasoperativos par gciayasminsalirrosascarbajal
SistemasoperativosSistemasoperativos
Sistemasoperativos
gciayasminsalirrosascarbajal119 vues
Telecommande bft-brcb-tx2 par SPAREKA
Telecommande bft-brcb-tx2Telecommande bft-brcb-tx2
Telecommande bft-brcb-tx2
SPAREKA772 vues
Tilaaja tuottaja-seminaari Juhani Lehto par TilTu-seminaari
Tilaaja tuottaja-seminaari Juhani LehtoTilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani Lehto
TilTu-seminaari333 vues
Denys Frank Hackert par tyl61yy4ca
Denys Frank HackertDenys Frank Hackert
Denys Frank Hackert
tyl61yy4ca1.9K vues
Morethanhoney par Marin Slavkov
MorethanhoneyMorethanhoney
Morethanhoney
Marin Slavkov3.5K vues
APRENDER A APRENDER par yoselyn katty santa cruz Rodriguez
APRENDER A APRENDER APRENDER A APRENDER
APRENDER A APRENDER
yoselyn katty santa cruz Rodriguez86 vues
La innovación en la constitución par andrea_medina36
La innovación en la constituciónLa innovación en la constitución
La innovación en la constitución
andrea_medina36232 vues
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa... par OECD Directorate for Financial and Enterprise Affairs
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
OECD Directorate for Financial and Enterprise Affairs2.5K vues
7 sins facebook par thjnkloved
7 sins facebook7 sins facebook
7 sins facebook
thjnkloved371 vues
مخطوطة كاملة par سمير بسيوني
مخطوطة كاملةمخطوطة كاملة
مخطوطة كاملة
سمير بسيوني723 vues
Fitoterapicos farmacotecnica par Mariana Ramos
Fitoterapicos farmacotecnicaFitoterapicos farmacotecnica
Fitoterapicos farmacotecnica
Mariana Ramos786 vues
Vom Return on Invest zum Return on Expectations par scil CH
Vom Return on Invest zum Return on ExpectationsVom Return on Invest zum Return on Expectations
Vom Return on Invest zum Return on Expectations
scil CH1.1K vues
Deporte en mexico par Arturo Dionicio Lara
Deporte en mexicoDeporte en mexico
Deporte en mexico
Arturo Dionicio Lara416 vues
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13 par Unternehmensgruppe SeniVita
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
Unternehmensgruppe SeniVita1.2K vues
Tc burger par Tembuakar Corp
Tc burgerTc burger
Tc burger
Tembuakar Corp478 vues
Maroc_2 par ninja_la_tortue
Maroc_2Maroc_2
Maroc_2
ninja_la_tortue629 vues
Gallinitas par brayitan0701
GallinitasGallinitas
Gallinitas
brayitan0701221 vues

Similaire à Systemes vulnerables

Gestion des vulnérabilités dans l'IoT par
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
560 vues49 diapositives
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf par
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfUbaldKouokam
10 vues21 diapositives
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"... par
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
3.4K vues57 diapositives
Principes fondamentaux de la sécurité du réseau. par
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
302 vues37 diapositives
Présentation1.pptx par
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
18 vues32 diapositives
Mon Cloud - Présentation des services par
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
112 vues16 diapositives

Similaire à Systemes vulnerables(20)

Gestion des vulnérabilités dans l'IoT par Maxime ALAY-EDDINE
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE560 vues
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf par UbaldKouokam
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
UbaldKouokam10 vues
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"... par ASIP Santé
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
ASIP Santé3.4K vues
Principes fondamentaux de la sécurité du réseau. par DjibyMbaye1
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1302 vues
Présentation1.pptx par ZokomElie
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie18 vues
Mon Cloud - Présentation des services par GARRIDOJulien
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien112 vues
Baudoin karle-ids-ips par Yassmina AGHIL
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
Yassmina AGHIL1.3K vues
1 securite-des-reseaux.2 p par Abdellah Alahyane
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane230 vues
1 securite-des-reseaux.2 p par Jean AMANI
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI521 vues
1 securite-des-reseaux.2 p par Abdellah Alahyane
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane150 vues
1 securite-des-reseaux.2 p par AAMOUMHicham
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham104 vues
V2 unetel typologie et enjeux de la cybercriminalite_août 14 par silvere cauffi assoua
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
silvere cauffi assoua179 vues
Competitic sécurite informatique - numerique en entreprise par COMPETITIC
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC 1.7K vues
Cybersécurité : les règles à appliquer [Webinaire] par Technologia Formation
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation2K vues
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015 par Télécom Paris
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris1.8K vues
40 règles de sécurité pour une hygiène informatique - ANSSI par polenumerique33
40 règles de sécurité pour une hygiène informatique - ANSSI40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI
polenumerique332K vues
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf par FootballLovers9
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers944 vues
Définir un guide de sécurité des systèmes informatiques virtuels par Roland Kouakou
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
Roland Kouakou707 vues
La sécurité des systèmes d’information par lara houda
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda1.5K vues
E réputation - protection des données en lignes par Digital Thursday
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
Digital Thursday427 vues

Systemes vulnerables

  • 1. Les systèmes vulnérables Christophe Casalegno Groupe Digital Network
  • 2. Systèmes vulnérables « Tous les systèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au mieux un ignorant, et au pire un escroc » Christophe Casalegno
  • 4. Systèmes vulnérables Il est facile de comprendre pourquoi : - Les composants sont imaginés par des humains - Les ordinateurs sont imaginés par des humains - Les systèmes d'exploitation sont imaginés par des humains - Les protocoles sont imaginés par des humains - Les machines qui les fabriques sont imaginées par des humains... Les humains sont imparfaits La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
  • 6. Systèmes vulnérables LE PREMIER MAILLON La conception
  • 7. Systèmes vulnérables LE SECOND MAILLON La fabrication
  • 8. Systèmes vulnérables LE TROISIEME MAILLON L'installation
  • 9. Systèmes vulnérables L'installation d'un système reste aujourd'hui encore l'une des clef de voûte de sa sécurité. Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc. Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement. Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
  • 10. Systèmes vulnérables LE QUATRIEME MAILLON La configuration
  • 11. Systèmes vulnérables C'est à cette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc. Plus de 90 % des erreurs sont commises à cette étape. La configuration d'un système d'information ne doit jamais être faite au hasard. Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
  • 12. Systèmes vulnérables Les erreurs pouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de : - l'absence / le non respect de la classification de l'information - l'absence / le non respect de la politique de sécurité - l'absence / le non respect des procédures d'installation - l'absence / le non respect de la composante sécurité des procédures - le manque de documentation concernant les applications à déployer - le manque de formation adaptée intégrant la composante sécurité
  • 13. Systèmes vulnérables LE CINQUIEME MAILLON L'exploitation
  • 14. Systèmes vulnérables Avoir un système d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile. La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur. De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité. Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
  • 15. Systèmes vulnérables Chaque instant qui passe influence la sécurité du système d'information. Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo. Le cracker, le pirate qui souhaite pénétrer un système a tout son temps. Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
  • 16. Systèmes vulnérables Il ne faut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable. La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions : - rares - difficiles - rapidement détectées - compartimentées
  • 17. Systèmes vulnérables LES MECANISMES DE SECURITE Les règles de la sécurité physique ne s'appliquent pas aux systèmes d'information
  • 18. Systèmes vulnérables Quand on s'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié : 1) Le disque dur est dans un coffre 2) Le coffre est dans une chambre forte 3) La chambre forte est dans un bâtiment sécurisé 4) Le bâtiment est entouré d'une enceinte sécurisée Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
  • 19. Systèmes vulnérables Dans un système d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple : - Sécurité par l'hôte - Sécurité par le réseau - Identification / authentifications multiples - Contrôle de l'intégrité des données - Haute disponibilité - Non répudiation des données Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.