3. Définition (1/3)
• Intégrité
– La donnée doit être intègre :
• Elle ne doit pas avoir été altérée
– Lors du stockage par du matériel défaillant (RAID : détection
d’une altération grâce au stockage sur plusieurs disques)
– Lors de l’écriture ou de la lecture par un logiciel défaillant
• Sauvegarde (restauration, mais uniquement après avoir
détecté la corruption)
• Antivirus
4. Définition (2/3)
• Disponibilité
– La donnée doit être accessible :
•
•
•
•
Disponibilité du stockage (RAID)
Disponibilité du serveur/logiciel qui utilise cette donnée
Disponibilité des réseaux transportant l’information
Disponibilité du périphérique (Ordinateur, Tablette
utilisant cette donnée)
5. Définition (3/3)
• Confidentialité
– La donnée ne doit être accessible que par les
personnes autorisées :
• Nécessité d’identifier/authentifier les utilisateurs
• Gestion des droits d’accès à la donnée
– Recommandation : tracer les actions des utilisateurs dans un
journal.
6. Risques (1/2)
• Dommages financiers :
– Disponibilité
• Un site web marchand n’est pas utilisable suite à un bug applicatif.
Diagnostic et correction : pas de site web pendant x heures.
– Intégrité des données
• Un virus a modifié la base de données d’un site web marchand en
divisant tous les prix par 2 : détection, restauration de la
sauvegarde, indisponibilité pendant la restauration
• Indisponibilité du site web pendant x heures, des commandes à
traiter avec des prix incorrects.
– Confidentialité
• La base de données du site web a été entièrement téléchargée par
l’attaquant : la base de données clients (CB), prix d’achats, etc…
7. Risques (2/2)
• Dégradation de l’image de marque :
exemple de Sony
– http://www.theregister.co.uk/2011/05/24/sony_p
laystation_breach_costs/
– “The cost of a criminal intrusion that exposed sensitive data
for more than 100 million Sony customers and resulted in a
23-day closure of the PlayStation Network will cost the
company at least $171 million, executives said.”
8. Menaces
• Interne :
– Le plus courant : utilisateur de l’entreprise
insouciant ou mal intentionné.
• Programme malveillant :
– Virus, malware (pub, SPAM)
• Personne malveillante :
– La pire des situations : l’attaque est ciblée et
personnalisée
– APT (Advanced Persistent Threat)
9. Comment se propage un malware ?
• Action volontaire de l’utilisateur :
– Ecran de veille gratuit Aquarium
Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les
avertissements.
• Faille de sécurité :
– Exemple côté utilisateur : Internet Explorer
– http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028
– Exemple côté serveur web : XSS (Cross Site Scripting)
– http://fr.wikipedia.org/wiki/Cross-site_scripting
Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte !
Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et
Acrobat Reader, demain ?
10. Marché noir des failles de sécurité
• Chercheur en sécurité très honnête :
– Informe l ’éditeur, attend le correctif, publie sa découverte
– Les éditeurs payent les découvertes : Google, Mozilla par exemple
• Chercheur en sécurité honnête :
– Informe l ’éditeur, attend 30 jours, publie
– Chercheur en sécurité :
– Vend la faille de sécurité au plus offrant (certaines failles peuvent
dépasser les 100 000 €)
• Une faille de sécurité est ensuite associée à un payload (charge
utile) pour être utilisée.
Windows XP : fin de support en avril 2014
11. Que faire ? (1/3)
• Intégrer la sécurité lors de toute décision
touchant le système d’information :
– Evaluer à l’aide des trois critères principaux les
bénéfices et les risques
« La sécurité fait partie des critères pour bien choisir
un prestataire. »
12. Que faire ? (2/3)
• Défense en profondeur :
– Sensibilisation des utilisateurs
• Mise en place d’une charte / guide d’utilisation de
l’outil informatique
– Sécurité logique
•
•
•
•
Authentification des utilisateurs, rôles, logs
Mises à jour régulières des logiciels
Sauvegardes
PRA/PCA (Plan de reprise / continuité d’activité)
13. Que faire ? (3/3)
• Défense en profondeur :
– Sécurité des transmissions
•
•
•
•
Firewall
IPS / IDS (Intrusion Prevention/Detection System)
VPN (Virtual Private Network)
Cryptage des données (Clé USB, portables…)
– Attention aux clés USB : vecteur d’infection virale très important !
– Sécurité physique
• Porte verrouillée
• Contrôle d’accès
• Vidéo surveillance
14. Stuxnet
• Un malware conçu pour attaquer une cible industrielle déterminée :
Installations nucléaires iraniennes => cyber arme
• C'est le premier ver découvert qui espionne et reprogramme des
systèmes industriels
• Le virus s’attaque aux systèmes Windows à l’aide de quatre
attaques dont trois « zero day »
• En février 2011, Symantec publie une analyse complète de Stuxnet.
Les spécialistes estiment qu'il a fallu 6 mois de développement et
une équipe de 5 à 10 personnes pour écrire le programme, avec au
moins un ingénieur connaissant parfaitement les équipements
industriels visés.
http://fr.wikipedia.org/wiki/Stuxnet