Le document examine les risques liés à la sécurisation des serveurs web, notamment la dégradation de l'image de l'entreprise et les pertes financières dues à des piratages. Il met en lumière des exemples de violations de données dans divers secteurs et souligne que la sécurité totale est irréaliste, mais qu'une protection adaptée peut minimiser les conséquences. Enfin, il présente les problématiques rencontrées par les opérateurs et les hébergeurs en matière de sécurité ainsi que des retours d'expérience dans le domaine.

1. SECURISATION DES SERVEURS WEB

2. Quels sont les risques ?
La réalité du Hacking
Les problématiques opérateurs
Les problématiques hébergeur
Retour d’expérience FrameIP
Conclusion
Les questions réponses

3. Quels sont les risques ?
Dégradation de l’Image
Cela montre des faiblesses sur son système d’information qui se répercute sur son image « globale ».
Se pose aussi la problématique de confiance des clients et des partenaires qui doutent aussi de la
confidentialité.
Risques pour la production
Le fait d’altérer un service peut sérieusement porter préjudice sur la production jusqu’à la rendre nulle.
Risques financiers
En corrélation avec les impacts précédents (Perte de production, image de marque,….)
Fuite et/ou vol d’information
(90% provient de l’intérieur) Expertise métier, méthodologie, outils, plan, R&D…
Risques Stratégiques pour l’entreprise
Mise en péril de l’activité si l’entreprise dépend de son système d’information
Bilan sur la sécurité:
Une protection absolue n’existe pas, néanmoins une sécurité adaptée permet de se prémunir d’un ensemble de
problématiques et/ou de maladresses, de décourager un nombre important d’attaques et de minimiser les
conséquences d’erreurs ou d’agressions
Lorsque la politique de sécurité est bien maitrisée,
on se tourne alors vers une politique de qualité
montrant ainsi la maturité du SI et indirectement de l’entreprise

4. La réalité du Hacking
50% des grandes entreprises ont été victimes de piratage depuis 2005
Certaines entreprises sont sanctionnées par leurs clients après un piratage pour leur négligence (ex: USA Avril
2010 : ~375 K€ d’amende vol d’une base de données contenant des informations sur leurs clients)
Sur les 2.400 administrateurs de la sécurité informatique interrogés aux États-Unis, au Royaume-Uni, en
France, en Allemagne et au Japon, 77 % admettent avoir perdu des données en 2010. La France fait à peine
mieux : 70 % des 450 entreprises interrogées auraient été touchées par une fuite de données.
Wikileaks :
Depuis Août 2010, Julian Assange, le créateur du site, a divulgué plus de 400 000 documents
confidentiels concernant 68 gouvernements.
Bercy:
Décembre 2010, 150 PC ont été infiltrés suite une attaque sur le Ministère de l’Economie et des Finances afin de récupérer des informations
sur le G20.
Etat belge :
Février 2011, différentes attaques ont été menées par les Anonymous sur le site du gouvernement Belge.
Cdiscount: Un hacker attaque le serveur de Cdiscount en Septembre 2010, indisponibilité durant quelques heures…
Banque : Phishing
IRAN : Piratage d’une centrale nucléaire en IRAN - « Stuxnet » prise de contrôle de système industriel
Russie : Impunité pour les Hackers en Russie
Espagne :
Un hacker a profité d’une faille sur la page d’accueil du site officiel de la présidence espagnole de l’Union européenne pour remplacer José
Luis Zapatero par Mr Bean.

5. Les problématiques opérateurs
Man in the Midle :
Interception de communication/data.
DNS Spoofing ou DNS Poisoning :
Redirection des flux vers une cible définie.
Attaque BGP :
Attaque DDOS en SYN Flood sur le port 179
Injection de route
Saturation des tables
Non respect de l’antispoofing :
Permettant l’usurpation

6. Les problématiques hébergeur
Ingénierie sociale :
Utilisation de la crédulité des utilisateurs pour leur soutirer des informations .
Exploitation de la RFC 2616 :
Hypertext Transfer Protocol -- HTTP/1.1
Inspection protocolaire
Firewall nouvelle génération :
Inspection applicative.
Analyse comportementale :
@IP, requête, URL.
Saturation des logs :
Ralentir la réaction de défense.
Se cacher.
DOS/ DDOS :
Déni de service en mode distribué
Zombie et Communauté.

7. Retour d’expérience FrameIP
FrameIP a toujours trouvé des failles
et les a classées par Criticité / Probabilité / Impact
3 modes d’audit sécurité chez FrameIP :
1. Découverte
2. Exploitation
3. Déni de service
Quelques exemples :
 Opérateur national :
L’audit avait pour but de montrer les limites de l’étanchéité du protocole MPLS
sur un réseau opérateur national.
 Ville - Problème de virtualisation
De multiples serveurs critiques exposés et accessibles de l’extérieur , plus de 3000 PC analysés en 2
jours
 Industriel international : Base de données oracle
 Conseil Général : Suite à une infection, nettoyage de 3000 postes en 72 heures.
 Entreprises : Audit LAN, Problème WIFI , Sécurité de la téléphonie sur IP
 écoles : Relais SMTP, problématique de Spam et « blacklistage », protection contre certains étudiants…

8. Conclusion
La sécurité absolue n’existe pas