Le document traite de la sécurité informatique, en abordant les définitions clés comme l'intégrité, la disponibilité et la confidentialité des données, ainsi que les risques associés tels que les dommages financiers et la dégradation de l'image de marque. Il souligne également les menaces internes et externes, notamment celles causées par des malwares et des failles de sécurité. Enfin, le texte propose des recommandations pour renforcer la sécurité des systèmes d'information, y compris la sensibilisation des utilisateurs et la défense en profondeur.

1. E-Sécurité
14 Octobre 2013
CROSASSO Benjamin
benjamin@alpinfra.fr
@alpinfra

2. Sommaire
•
•
•
•
•
Les Définitions
Les Risques
Les Menaces
Les Solutions
Bonus : Stuxnet

3. Définition (1/3)
• Intégrité
– La donnée doit être intègre :
• Elle ne doit pas avoir été altérée
– Lors du stockage par du matériel défaillant (RAID : détection
d’une altération grâce au stockage sur plusieurs disques)
– Lors de l’écriture ou de la lecture par un logiciel défaillant
• Sauvegarde (restauration, mais uniquement après avoir
détecté la corruption)
• Antivirus

4. Définition (2/3)
• Disponibilité
– La donnée doit être accessible :
•
•
•
•
Disponibilité du stockage (RAID)
Disponibilité du serveur/logiciel qui utilise cette donnée
Disponibilité des réseaux transportant l’information
Disponibilité du périphérique (Ordinateur, Tablette
utilisant cette donnée)

5. Définition (3/3)
• Confidentialité
– La donnée ne doit être accessible que par les
personnes autorisées :
• Nécessité d’identifier/authentifier les utilisateurs
• Gestion des droits d’accès à la donnée
– Recommandation : tracer les actions des utilisateurs dans un
journal.

6. Risques (1/2)
• Dommages financiers :
– Disponibilité
• Un site web marchand n’est pas utilisable suite à un bug applicatif.
Diagnostic et correction : pas de site web pendant x heures.
– Intégrité des données
• Un virus a modifié la base de données d’un site web marchand en
divisant tous les prix par 2 : détection, restauration de la
sauvegarde, indisponibilité pendant la restauration
• Indisponibilité du site web pendant x heures, des commandes à
traiter avec des prix incorrects.
– Confidentialité
• La base de données du site web a été entièrement téléchargée par
l’attaquant : la base de données clients (CB), prix d’achats, etc…

7. Risques (2/2)
• Dégradation de l’image de marque :
exemple de Sony
– http://www.theregister.co.uk/2011/05/24/sony_p
laystation_breach_costs/
– “The cost of a criminal intrusion that exposed sensitive data
for more than 100 million Sony customers and resulted in a
23-day closure of the PlayStation Network will cost the
company at least $171 million, executives said.”

8. Menaces
• Interne :
– Le plus courant : utilisateur de l’entreprise
insouciant ou mal intentionné.
• Programme malveillant :
– Virus, malware (pub, SPAM)
• Personne malveillante :
– La pire des situations : l’attaque est ciblée et
personnalisée
– APT (Advanced Persistent Threat)

9. Comment se propage un malware ?
• Action volontaire de l’utilisateur :
– Ecran de veille gratuit Aquarium
Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les
avertissements.
• Faille de sécurité :
– Exemple côté utilisateur : Internet Explorer
– http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028
– Exemple côté serveur web : XSS (Cross Site Scripting)
– http://fr.wikipedia.org/wiki/Cross-site_scripting
Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte !
Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et
Acrobat Reader, demain ?

10. Marché noir des failles de sécurité
• Chercheur en sécurité très honnête :
– Informe l ’éditeur, attend le correctif, publie sa découverte
– Les éditeurs payent les découvertes : Google, Mozilla par exemple
• Chercheur en sécurité honnête :
– Informe l ’éditeur, attend 30 jours, publie
– Chercheur en sécurité :
– Vend la faille de sécurité au plus offrant (certaines failles peuvent
dépasser les 100 000 €)
• Une faille de sécurité est ensuite associée à un payload (charge
utile) pour être utilisée.
Windows XP : fin de support en avril 2014

11. Que faire ? (1/3)
• Intégrer la sécurité lors de toute décision
touchant le système d’information :
– Evaluer à l’aide des trois critères principaux les
bénéfices et les risques
« La sécurité fait partie des critères pour bien choisir
un prestataire. »

12. Que faire ? (2/3)
• Défense en profondeur :
– Sensibilisation des utilisateurs
• Mise en place d’une charte / guide d’utilisation de
l’outil informatique
– Sécurité logique
•
•
•
•
Authentification des utilisateurs, rôles, logs
Mises à jour régulières des logiciels
Sauvegardes
PRA/PCA (Plan de reprise / continuité d’activité)

13. Que faire ? (3/3)
• Défense en profondeur :
– Sécurité des transmissions
•
•
•
•
Firewall
IPS / IDS (Intrusion Prevention/Detection System)
VPN (Virtual Private Network)
Cryptage des données (Clé USB, portables…)
– Attention aux clés USB : vecteur d’infection virale très important !
– Sécurité physique
• Porte verrouillée
• Contrôle d’accès
• Vidéo surveillance

14. Stuxnet
• Un malware conçu pour attaquer une cible industrielle déterminée :
Installations nucléaires iraniennes => cyber arme
• C'est le premier ver découvert qui espionne et reprogramme des
systèmes industriels
• Le virus s’attaque aux systèmes Windows à l’aide de quatre
attaques dont trois « zero day »
• En février 2011, Symantec publie une analyse complète de Stuxnet.
Les spécialistes estiment qu'il a fallu 6 mois de développement et
une équipe de 5 à 10 personnes pour écrire le programme, avec au
moins un ingénieur connaissant parfaitement les équipements
industriels visés.
http://fr.wikipedia.org/wiki/Stuxnet

15. Merci