Slides apéri tic e securite 10 2013

751 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
751
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
10
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Slides apéri tic e securite 10 2013

  1. 1. E-Sécurité 14 Octobre 2013 CROSASSO Benjamin benjamin@alpinfra.fr @alpinfra
  2. 2. Sommaire • • • • • Les Définitions Les Risques Les Menaces Les Solutions Bonus : Stuxnet
  3. 3. Définition (1/3) • Intégrité – La donnée doit être intègre : • Elle ne doit pas avoir été altérée – Lors du stockage par du matériel défaillant (RAID : détection d’une altération grâce au stockage sur plusieurs disques) – Lors de l’écriture ou de la lecture par un logiciel défaillant • Sauvegarde (restauration, mais uniquement après avoir détecté la corruption) • Antivirus
  4. 4. Définition (2/3) • Disponibilité – La donnée doit être accessible : • • • • Disponibilité du stockage (RAID) Disponibilité du serveur/logiciel qui utilise cette donnée Disponibilité des réseaux transportant l’information Disponibilité du périphérique (Ordinateur, Tablette utilisant cette donnée)
  5. 5. Définition (3/3) • Confidentialité – La donnée ne doit être accessible que par les personnes autorisées : • Nécessité d’identifier/authentifier les utilisateurs • Gestion des droits d’accès à la donnée – Recommandation : tracer les actions des utilisateurs dans un journal.
  6. 6. Risques (1/2) • Dommages financiers : – Disponibilité • Un site web marchand n’est pas utilisable suite à un bug applicatif. Diagnostic et correction : pas de site web pendant x heures. – Intégrité des données • Un virus a modifié la base de données d’un site web marchand en divisant tous les prix par 2 : détection, restauration de la sauvegarde, indisponibilité pendant la restauration • Indisponibilité du site web pendant x heures, des commandes à traiter avec des prix incorrects. – Confidentialité • La base de données du site web a été entièrement téléchargée par l’attaquant : la base de données clients (CB), prix d’achats, etc…
  7. 7. Risques (2/2) • Dégradation de l’image de marque : exemple de Sony – http://www.theregister.co.uk/2011/05/24/sony_p laystation_breach_costs/ – “The cost of a criminal intrusion that exposed sensitive data for more than 100 million Sony customers and resulted in a 23-day closure of the PlayStation Network will cost the company at least $171 million, executives said.”
  8. 8. Menaces • Interne : – Le plus courant : utilisateur de l’entreprise insouciant ou mal intentionné. • Programme malveillant : – Virus, malware (pub, SPAM) • Personne malveillante : – La pire des situations : l’attaque est ciblée et personnalisée – APT (Advanced Persistent Threat)
  9. 9. Comment se propage un malware ? • Action volontaire de l’utilisateur : – Ecran de veille gratuit Aquarium Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les avertissements. • Faille de sécurité : – Exemple côté utilisateur : Internet Explorer – http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028 – Exemple côté serveur web : XSS (Cross Site Scripting) – http://fr.wikipedia.org/wiki/Cross-site_scripting Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte ! Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et Acrobat Reader, demain ?
  10. 10. Marché noir des failles de sécurité • Chercheur en sécurité très honnête : – Informe l ’éditeur, attend le correctif, publie sa découverte – Les éditeurs payent les découvertes : Google, Mozilla par exemple • Chercheur en sécurité honnête : – Informe l ’éditeur, attend 30 jours, publie – Chercheur en sécurité : – Vend la faille de sécurité au plus offrant (certaines failles peuvent dépasser les 100 000 €) • Une faille de sécurité est ensuite associée à un payload (charge utile) pour être utilisée. Windows XP : fin de support en avril 2014
  11. 11. Que faire ? (1/3) • Intégrer la sécurité lors de toute décision touchant le système d’information : – Evaluer à l’aide des trois critères principaux les bénéfices et les risques « La sécurité fait partie des critères pour bien choisir un prestataire. »
  12. 12. Que faire ? (2/3) • Défense en profondeur : – Sensibilisation des utilisateurs • Mise en place d’une charte / guide d’utilisation de l’outil informatique – Sécurité logique • • • • Authentification des utilisateurs, rôles, logs Mises à jour régulières des logiciels Sauvegardes PRA/PCA (Plan de reprise / continuité d’activité)
  13. 13. Que faire ? (3/3) • Défense en profondeur : – Sécurité des transmissions • • • • Firewall IPS / IDS (Intrusion Prevention/Detection System) VPN (Virtual Private Network) Cryptage des données (Clé USB, portables…) – Attention aux clés USB : vecteur d’infection virale très important ! – Sécurité physique • Porte verrouillée • Contrôle d’accès • Vidéo surveillance
  14. 14. Stuxnet • Un malware conçu pour attaquer une cible industrielle déterminée : Installations nucléaires iraniennes => cyber arme • C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels • Le virus s’attaque aux systèmes Windows à l’aide de quatre attaques dont trois « zero day » • En février 2011, Symantec publie une analyse complète de Stuxnet. Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés. http://fr.wikipedia.org/wiki/Stuxnet
  15. 15. Merci

×