SlideShare une entreprise Scribd logo
PLAN
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Plus de 90% des entreprises ont consacré un budget
à la sécurité informatique malgré la crise.
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
INTRODUCTION
3
source : cabinet pierre Audoin consultants 2012
90%
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
INTRODUCTION
4
source : Kaspersky Lab
Et pourtant… les attaques informatiques se
multiplient.
52% des entreprises ont signalé une augmentation
du nombre d’attaques informatiques auxquelles
elles ont du faire face en 2012. 52%
• Les clients et utilisateurs ont changé de comportements.
• Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis
dans le domaine de la sécurité)
• La sécurité est un grand enjeu pour les prochaine années.
1980 :
Tout est
fichier
1990 : Tout
est
document
1995 : Sur le
réseau
(Internet)
2000 : Tout est
programme
2010 :
L’architecture
est un
programme
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Un peu d’histoire
5
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Enjeux de la sécurité des
SI
6
Disponibilité Intégrité
Confidentialité Auditabilité
Sécurité
Informatique
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menaces
explosion des menaces
7
< />
!
Source : ponemon institut 2013
92%
des entreprises du Forbes 2000 ont
été victimes d'incidents,
Les applications concentrent
90%
des vulnérabilités.
Pourtant 80% des budgets
sécurité sont consacrés aux
,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures.
3.61 $
par ligne de code.
C'est le coût de la non
qualité/sécurité dans
un développement
99%
des applications Web
sont vulnérables,
Une application contient
13
failles en moyenne,
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menaces
Les motivations pour les attaques
8
Hacktivisme Gains Financiers Déstabilisation entre
états
Obtention de
capacité d'attaque
.Interruption du service
.Messages idéologiques
.Divulgation
.Vol de carte de crédit
.Vol de données
personnelles
.Vol de données
d'entreprise
.Destruction logique
et/ou physique
.Vol de données
stratégiques
.Vol de mécanisme
d'authentification /
certificats
.Vol de codes sources
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menaces
Types de menaces
9
Catégories Méthodes Caractéristiques
Virus/ver Diffusion via messagerie, duplication
illimitée (ver ou activation humaine
(virus)
Destruction de ressource et contamination
croisée
Déni de Service Saturation d'un serveur par envoi d'un
flot de messages
Paralysie et arrêt des serveurs
Cheval de Troie
(Back Door)
Programme introduit discrètement par
un logiciel, une consultation de page
Prise de contrôle à distance d'une machine
Attaque DNS Emploi d'une adresse DNS correcte à but
frauduleux
Prise de contrôle d'applications
IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau
privé
• Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée.
• Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Techniques de sécurité
10
Internaute
Sécuriser les opérations et les listes :
Des solutions existent, mais il faut les utiliser
Sécurité
individuelle
Sécurité
passive
Sécurité
active
Sécurité
globale
Sécurité du poste de travail
Antivirus,-spam, spyware,
Firewall personnel
Sécurité globale "portique"
Firewall, Proxy
Sécurité individuelle
Authentification, cryptage SSL,
S/MIME,SET
Sécurité du centre de calcul
Périmètre , Antivirus, Filtrage de contenu,
Droits et identités
Serveur
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
11
Confidentialité des données
pour éviter les indiscrets et
espions
un tiers peut lire le message chiffrage des messages
Intégrité des données pour
éviter les vandales et pirates
un tiers intercepte et modifie le message
calcul de l'empreinte des
messages signatures
électroniques)
Identité des interlocuteurs
pour éviter les imposteurs
un tiers se fait passer par le client
Echange des certificats entre
client et serveur
Paternité des transactions
pour éviter la répudiation
des actes
un tiers se fait passer pour le serveur Mémoire historique
Droits des clients pour éviter
les usages frauduleux
annuaire
Enregistrement des droits des
utilisateurs dans un annuaire
Techniques de sécurité
Sécurité active
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
12
Techniques de sécurité
Sécurité active
• Chiffrage / cryptage symétrique
Message
Message crypté
Clé
Clé
Message crypté
Message
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
13
Techniques de sécurité
Sécurité active
• Chiffrage / cryptage asymétrique
Message
Message crypté
Clé Publique
Clé privée
Message crypté
Message
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
14
Techniques de sécurité
Sécurité active
• Comparaison cryptage symétrique/asymétrique
Avantages Inconvénients
Symétrique
• Rapide
• Peut être rapidement
placée dans un échange
• Difficulté de distribution
• Pas de signature
électronique
Asymétrique
• Deux clefs différentes
• Capacité d'intégrité et de
non Répudiation par
signature électronique
• Lent, algorithme complexe
• Nécessité de publication de
la clef publique
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
15
Techniques de sécurité
Sécurité active
Secure Socket layer
• Protocole de sécurisation des échanges sur Internet
• Permet de créer un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau interne
• utilisé lorsqu'un navigateur doit se connecter de manière
sécurisée à un serveur web.
• Les utilisateurs sont avertis de la présence de la sécurité SSL
grâce à l'affichage d'un cadenas et du protocole « https » dans
l'url
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
16
Techniques de sécurité
Sécurité active
• Secure socket layer
Client Serveur
Génération de la
clé de session
Requête
Cryptage de la clé de session à l’aide
de la clé publique du serveur Clé privée du
serveur
Envoi de la clé de session
cryptée au serveur
Clé publique du
serveur
Décryptage
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
17
Techniques de sécurité
Sécurité Passive : Les pare-feu
Internet Intranet
Serveur
HTTP
+
SGBD
Firewall
Contrôle
les accès
entrants
Firewall
Contrôle
les accès
entrants et
sortants
Serveur
HTTP
Serveur
Mail
Serveur
Proxy
DMZ
Zone démilitarisée
Externe Interne
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
18
Techniques de sécurité
Sécurité Passive : VPN
• Principe de fonctionnement d’un réseau privé virtuel
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
19
Techniques de sécurité
Techniques et technologies de sécurisation
• Schéma récapitulatif
TECHNIQUES TECHNOLOGIES
Design Security
Pattern
(conception de
framework de
sécurité)
Modélisation des
attaques (threat
modeling)
Méthodologie de
développement
sécurisé
Formation de
développeurs
Contrôle régulier
des applications
Vérification des
traces applicatives
Contrôle
qualité
Test
d'intrusion
Revue de
code
API
Framework de
sécurité
Bugtracker
Firewall NG
Mitigation
d'attaques
DOS
Sandboxing
Virtual
patching
IPS
WAF
Fuzzer
Scanner de
vulnérabilités
Scanner
passif
SIEM
Analyseur
comportemental
d'application
Scanner automatisé de
vulnérabilités
Analyseur statique
de code
Analyseur
dynamique de
code
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
20
Processus de sécurisation
• Architecture globale de sécurité
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
21
Processus de sécurisation
• Surveiller et
vérifier l'efficacité
de la sécurité en
place
• Analyser et
améliorer la
sécurité
• Mise en place des
mesures de
sécurité
• Identifier les
risques et élaborer
les objectifs à
atteindre en
termes de sécurité
Plan Do
CheckAct
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
22
Conclusion
• Aider les collaborateurs d’une entreprise à comprendre :
 La valeur des actifs tangibles et intangibles, en particulier de
l’information, qu’ils manipulent dans l’exercice quotidien de leur
quotidien
 Les risques auxquels ils sont exposés et auxquels ils exposent les
autres
 Les mesures appliquées par l’entreprise et celles qu’on leur demande
d’appliquer pour réduire ces risques
 Les comportements déconseillés ou interdits
Merci pour votre attention
Protégez vos données

Contenu connexe

Tendances

Tendances (20)

Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Ebios
EbiosEbios
Ebios
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 

En vedette

Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
chammem
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 

En vedette (20)

Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Rh et sécurité
 Rh et  sécurité  Rh et  sécurité
Rh et sécurité
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securite
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de données
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 

Similaire à Sécurité des systèmes d'informations

cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
HbJlm
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Normandie Web Xperts
 

Similaire à Sécurité des systèmes d'informations (20)

Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
Securite
SecuriteSecurite
Securite
 
CYBER SECURITY & FINTECH
CYBER SECURITY & FINTECHCYBER SECURITY & FINTECH
CYBER SECURITY & FINTECH
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Snort
SnortSnort
Snort
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptx
 

Sécurité des systèmes d'informations

  • 1.
  • 2. PLAN I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion
  • 3. Plus de 90% des entreprises ont consacré un budget à la sécurité informatique malgré la crise. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion INTRODUCTION 3 source : cabinet pierre Audoin consultants 2012 90%
  • 4. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion INTRODUCTION 4 source : Kaspersky Lab Et pourtant… les attaques informatiques se multiplient. 52% des entreprises ont signalé une augmentation du nombre d’attaques informatiques auxquelles elles ont du faire face en 2012. 52% • Les clients et utilisateurs ont changé de comportements. • Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis dans le domaine de la sécurité) • La sécurité est un grand enjeu pour les prochaine années.
  • 5. 1980 : Tout est fichier 1990 : Tout est document 1995 : Sur le réseau (Internet) 2000 : Tout est programme 2010 : L’architecture est un programme I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion Un peu d’histoire 5
  • 6. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion Enjeux de la sécurité des SI 6 Disponibilité Intégrité Confidentialité Auditabilité Sécurité Informatique
  • 7. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion les menaces explosion des menaces 7 < /> ! Source : ponemon institut 2013 92% des entreprises du Forbes 2000 ont été victimes d'incidents, Les applications concentrent 90% des vulnérabilités. Pourtant 80% des budgets sécurité sont consacrés aux ,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures. 3.61 $ par ligne de code. C'est le coût de la non qualité/sécurité dans un développement 99% des applications Web sont vulnérables, Une application contient 13 failles en moyenne,
  • 8. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion les menaces Les motivations pour les attaques 8 Hacktivisme Gains Financiers Déstabilisation entre états Obtention de capacité d'attaque .Interruption du service .Messages idéologiques .Divulgation .Vol de carte de crédit .Vol de données personnelles .Vol de données d'entreprise .Destruction logique et/ou physique .Vol de données stratégiques .Vol de mécanisme d'authentification / certificats .Vol de codes sources
  • 9. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion les menaces Types de menaces 9 Catégories Méthodes Caractéristiques Virus/ver Diffusion via messagerie, duplication illimitée (ver ou activation humaine (virus) Destruction de ressource et contamination croisée Déni de Service Saturation d'un serveur par envoi d'un flot de messages Paralysie et arrêt des serveurs Cheval de Troie (Back Door) Programme introduit discrètement par un logiciel, une consultation de page Prise de contrôle à distance d'une machine Attaque DNS Emploi d'une adresse DNS correcte à but frauduleux Prise de contrôle d'applications IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau privé • Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée. • Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes
  • 10. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion Techniques de sécurité 10 Internaute Sécuriser les opérations et les listes : Des solutions existent, mais il faut les utiliser Sécurité individuelle Sécurité passive Sécurité active Sécurité globale Sécurité du poste de travail Antivirus,-spam, spyware, Firewall personnel Sécurité globale "portique" Firewall, Proxy Sécurité individuelle Authentification, cryptage SSL, S/MIME,SET Sécurité du centre de calcul Périmètre , Antivirus, Filtrage de contenu, Droits et identités Serveur
  • 11. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 11 Confidentialité des données pour éviter les indiscrets et espions un tiers peut lire le message chiffrage des messages Intégrité des données pour éviter les vandales et pirates un tiers intercepte et modifie le message calcul de l'empreinte des messages signatures électroniques) Identité des interlocuteurs pour éviter les imposteurs un tiers se fait passer par le client Echange des certificats entre client et serveur Paternité des transactions pour éviter la répudiation des actes un tiers se fait passer pour le serveur Mémoire historique Droits des clients pour éviter les usages frauduleux annuaire Enregistrement des droits des utilisateurs dans un annuaire Techniques de sécurité Sécurité active
  • 12. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 12 Techniques de sécurité Sécurité active • Chiffrage / cryptage symétrique Message Message crypté Clé Clé Message crypté Message
  • 13. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 13 Techniques de sécurité Sécurité active • Chiffrage / cryptage asymétrique Message Message crypté Clé Publique Clé privée Message crypté Message
  • 14. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 14 Techniques de sécurité Sécurité active • Comparaison cryptage symétrique/asymétrique Avantages Inconvénients Symétrique • Rapide • Peut être rapidement placée dans un échange • Difficulté de distribution • Pas de signature électronique Asymétrique • Deux clefs différentes • Capacité d'intégrité et de non Répudiation par signature électronique • Lent, algorithme complexe • Nécessité de publication de la clef publique
  • 15. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 15 Techniques de sécurité Sécurité active Secure Socket layer • Protocole de sécurisation des échanges sur Internet • Permet de créer un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne • utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web. • Les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url
  • 16. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 16 Techniques de sécurité Sécurité active • Secure socket layer Client Serveur Génération de la clé de session Requête Cryptage de la clé de session à l’aide de la clé publique du serveur Clé privée du serveur Envoi de la clé de session cryptée au serveur Clé publique du serveur Décryptage
  • 17. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 17 Techniques de sécurité Sécurité Passive : Les pare-feu Internet Intranet Serveur HTTP + SGBD Firewall Contrôle les accès entrants Firewall Contrôle les accès entrants et sortants Serveur HTTP Serveur Mail Serveur Proxy DMZ Zone démilitarisée Externe Interne
  • 18. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 18 Techniques de sécurité Sécurité Passive : VPN • Principe de fonctionnement d’un réseau privé virtuel
  • 19. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 19 Techniques de sécurité Techniques et technologies de sécurisation • Schéma récapitulatif TECHNIQUES TECHNOLOGIES Design Security Pattern (conception de framework de sécurité) Modélisation des attaques (threat modeling) Méthodologie de développement sécurisé Formation de développeurs Contrôle régulier des applications Vérification des traces applicatives Contrôle qualité Test d'intrusion Revue de code API Framework de sécurité Bugtracker Firewall NG Mitigation d'attaques DOS Sandboxing Virtual patching IPS WAF Fuzzer Scanner de vulnérabilités Scanner passif SIEM Analyseur comportemental d'application Scanner automatisé de vulnérabilités Analyseur statique de code Analyseur dynamique de code
  • 20. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 20 Processus de sécurisation • Architecture globale de sécurité
  • 21. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 21 Processus de sécurisation • Surveiller et vérifier l'efficacité de la sécurité en place • Analyser et améliorer la sécurité • Mise en place des mesures de sécurité • Identifier les risques et élaborer les objectifs à atteindre en termes de sécurité Plan Do CheckAct
  • 22. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 22 Conclusion • Aider les collaborateurs d’une entreprise à comprendre :  La valeur des actifs tangibles et intangibles, en particulier de l’information, qu’ils manipulent dans l’exercice quotidien de leur quotidien  Les risques auxquels ils sont exposés et auxquels ils exposent les autres  Les mesures appliquées par l’entreprise et celles qu’on leur demande d’appliquer pour réduire ces risques  Les comportements déconseillés ou interdits
  • 23. Merci pour votre attention Protégez vos données