SlideShare une entreprise Scribd logo
E-Sécurité
14 Octobre 2013
CROSASSO Benjamin
benjamin@alpinfra.fr
@alpinfra
Sommaire
•
•
•
•
•

Les Définitions
Les Risques
Les Menaces
Les Solutions
Bonus : Stuxnet
Définition (1/3)
• Intégrité
– La donnée doit être intègre :
• Elle ne doit pas avoir été altérée
– Lors du stockage par du matériel défaillant (RAID : détection
d’une altération grâce au stockage sur plusieurs disques)
– Lors de l’écriture ou de la lecture par un logiciel défaillant

• Sauvegarde (restauration, mais uniquement après avoir
détecté la corruption)
• Antivirus
Définition (2/3)
• Disponibilité
– La donnée doit être accessible :
•
•
•
•

Disponibilité du stockage (RAID)
Disponibilité du serveur/logiciel qui utilise cette donnée
Disponibilité des réseaux transportant l’information
Disponibilité du périphérique (Ordinateur, Tablette
utilisant cette donnée)
Définition (3/3)
• Confidentialité
– La donnée ne doit être accessible que par les
personnes autorisées :
• Nécessité d’identifier/authentifier les utilisateurs
• Gestion des droits d’accès à la donnée
– Recommandation : tracer les actions des utilisateurs dans un
journal.
Risques (1/2)
• Dommages financiers :
– Disponibilité
• Un site web marchand n’est pas utilisable suite à un bug applicatif.
Diagnostic et correction : pas de site web pendant x heures.

– Intégrité des données
• Un virus a modifié la base de données d’un site web marchand en
divisant tous les prix par 2 : détection, restauration de la
sauvegarde, indisponibilité pendant la restauration
• Indisponibilité du site web pendant x heures, des commandes à
traiter avec des prix incorrects.

– Confidentialité
• La base de données du site web a été entièrement téléchargée par
l’attaquant : la base de données clients (CB), prix d’achats, etc…
Risques (2/2)
• Dégradation de l’image de marque :
exemple de Sony
– http://www.theregister.co.uk/2011/05/24/sony_p
laystation_breach_costs/
– “The cost of a criminal intrusion that exposed sensitive data
for more than 100 million Sony customers and resulted in a
23-day closure of the PlayStation Network will cost the
company at least $171 million, executives said.”
Menaces
• Interne :
– Le plus courant : utilisateur de l’entreprise
insouciant ou mal intentionné.

• Programme malveillant :
– Virus, malware (pub, SPAM)

• Personne malveillante :
– La pire des situations : l’attaque est ciblée et
personnalisée
– APT (Advanced Persistent Threat)
Comment se propage un malware ?
• Action volontaire de l’utilisateur :
– Ecran de veille gratuit Aquarium
Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les
avertissements.

• Faille de sécurité :
– Exemple côté utilisateur : Internet Explorer
– http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028

– Exemple côté serveur web : XSS (Cross Site Scripting)
– http://fr.wikipedia.org/wiki/Cross-site_scripting

Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte !
Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et
Acrobat Reader, demain ?
Marché noir des failles de sécurité
• Chercheur en sécurité très honnête :
– Informe l ’éditeur, attend le correctif, publie sa découverte
– Les éditeurs payent les découvertes : Google, Mozilla par exemple

• Chercheur en sécurité honnête :
– Informe l ’éditeur, attend 30 jours, publie
– Chercheur en sécurité :
– Vend la faille de sécurité au plus offrant (certaines failles peuvent
dépasser les 100 000 €)

• Une faille de sécurité est ensuite associée à un payload (charge
utile) pour être utilisée.
Windows XP : fin de support en avril 2014
Que faire ? (1/3)
• Intégrer la sécurité lors de toute décision
touchant le système d’information :
– Evaluer à l’aide des trois critères principaux les
bénéfices et les risques
« La sécurité fait partie des critères pour bien choisir
un prestataire. »
Que faire ? (2/3)
• Défense en profondeur :
– Sensibilisation des utilisateurs
• Mise en place d’une charte / guide d’utilisation de
l’outil informatique

– Sécurité logique
•
•
•
•

Authentification des utilisateurs, rôles, logs
Mises à jour régulières des logiciels
Sauvegardes
PRA/PCA (Plan de reprise / continuité d’activité)
Que faire ? (3/3)
• Défense en profondeur :
– Sécurité des transmissions
•
•
•
•

Firewall
IPS / IDS (Intrusion Prevention/Detection System)
VPN (Virtual Private Network)
Cryptage des données (Clé USB, portables…)
– Attention aux clés USB : vecteur d’infection virale très important !

– Sécurité physique
• Porte verrouillée
• Contrôle d’accès
• Vidéo surveillance
Stuxnet
• Un malware conçu pour attaquer une cible industrielle déterminée :
Installations nucléaires iraniennes => cyber arme
• C'est le premier ver découvert qui espionne et reprogramme des
systèmes industriels
• Le virus s’attaque aux systèmes Windows à l’aide de quatre
attaques dont trois « zero day »
• En février 2011, Symantec publie une analyse complète de Stuxnet.
Les spécialistes estiment qu'il a fallu 6 mois de développement et
une équipe de 5 à 10 personnes pour écrire le programme, avec au
moins un ingénieur connaissant parfaitement les équipements
industriels visés.
http://fr.wikipedia.org/wiki/Stuxnet
Merci

Contenu connexe

En vedette

3ème Collège de Peristeri
3ème Collège de Peristeri3ème Collège de Peristeri
3ème Collège de Peristeri
Pezou
 
Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...
Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...
Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...
Unipush Media GmbH
 
Évaluer l’information sur Internet et prescrire des ressources aux patients-...
Évaluer l’information sur Internet et prescrire des ressources aux patients-...Évaluer l’information sur Internet et prescrire des ressources aux patients-...
Évaluer l’information sur Internet et prescrire des ressources aux patients-...
Colloque "La communication au coeur de la e-santé"
 
Présentation m&v 20131121
Présentation m&v   20131121Présentation m&v   20131121
Présentation m&v 20131121
clauderohou
 
Décret n°2002 8-du_4_janvier_2002
Décret n°2002 8-du_4_janvier_2002Décret n°2002 8-du_4_janvier_2002
Visión, llaves para desarrollarla
Visión, llaves para desarrollarlaVisión, llaves para desarrollarla
Visión, llaves para desarrollarla
Carlos Quintana Zavala
 
Présentations 4 cours 2007-2008
Présentations 4 cours 2007-2008Présentations 4 cours 2007-2008
Présentations 4 cours 2007-2008
laprofdefran
 
Réalité augmentée chirurgie des anévrysmes
Réalité augmentée chirurgie des anévrysmesRéalité augmentée chirurgie des anévrysmes
Réalité augmentée chirurgie des anévrysmes
Hopitaux Universitaires de Genève
 
Tresors de la musique, de la scultureet de la peinture
Tresors de la  musique, de la scultureet de la peintureTresors de la  musique, de la scultureet de la peinture
Tresors de la musique, de la scultureet de la peinture
Pezou
 
Die Plone-Community
Die Plone-CommunityDie Plone-Community
Die Plone-Community
janulrich.hasecke
 
Adequation Entre Legislation outil Informatique humain
Adequation Entre Legislation outil Informatique humainAdequation Entre Legislation outil Informatique humain
Adequation Entre Legislation outil Informatique humain
Martine Giraudy
 
ArtCom Sup Actualités
ArtCom Sup ActualitésArtCom Sup Actualités
ArtCom Sup Actualités
alaincarre14
 
ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)
ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)
ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)
chouinard
 
Vertriebskanalstruktur - Tools für das Strategische Management
Vertriebskanalstruktur - Tools für das Strategische ManagementVertriebskanalstruktur - Tools für das Strategische Management
Vertriebskanalstruktur - Tools für das Strategische Management
Winfried Kempfle Marketing Services
 
Familia Colombiana
Familia ColombianaFamilia Colombiana
Familia Colombiana
Edgar Devia Góngora
 

En vedette (20)

3ème Collège de Peristeri
3ème Collège de Peristeri3ème Collège de Peristeri
3ème Collège de Peristeri
 
Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...
Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...
Unipush Business - Die Außendienst und Marketing-App für iPhone, iPad und And...
 
Test - CP
Test - CPTest - CP
Test - CP
 
Évaluer l’information sur Internet et prescrire des ressources aux patients-...
Évaluer l’information sur Internet et prescrire des ressources aux patients-...Évaluer l’information sur Internet et prescrire des ressources aux patients-...
Évaluer l’information sur Internet et prescrire des ressources aux patients-...
 
List 38
List 38List 38
List 38
 
Présentation m&v 20131121
Présentation m&v   20131121Présentation m&v   20131121
Présentation m&v 20131121
 
Décret n°2002 8-du_4_janvier_2002
Décret n°2002 8-du_4_janvier_2002Décret n°2002 8-du_4_janvier_2002
Décret n°2002 8-du_4_janvier_2002
 
Visión, llaves para desarrollarla
Visión, llaves para desarrollarlaVisión, llaves para desarrollarla
Visión, llaves para desarrollarla
 
Akuino uit
Akuino uitAkuino uit
Akuino uit
 
Présentations 4 cours 2007-2008
Présentations 4 cours 2007-2008Présentations 4 cours 2007-2008
Présentations 4 cours 2007-2008
 
apero
aperoapero
apero
 
Réalité augmentée chirurgie des anévrysmes
Réalité augmentée chirurgie des anévrysmesRéalité augmentée chirurgie des anévrysmes
Réalité augmentée chirurgie des anévrysmes
 
Tresors de la musique, de la scultureet de la peinture
Tresors de la  musique, de la scultureet de la peintureTresors de la  musique, de la scultureet de la peinture
Tresors de la musique, de la scultureet de la peinture
 
Die Plone-Community
Die Plone-CommunityDie Plone-Community
Die Plone-Community
 
Simon_Sébastien
Simon_SébastienSimon_Sébastien
Simon_Sébastien
 
Adequation Entre Legislation outil Informatique humain
Adequation Entre Legislation outil Informatique humainAdequation Entre Legislation outil Informatique humain
Adequation Entre Legislation outil Informatique humain
 
ArtCom Sup Actualités
ArtCom Sup ActualitésArtCom Sup Actualités
ArtCom Sup Actualités
 
ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)
ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)
ChâTeau De Quel Personnage D.C.(Magic, Ernesto Cortazar)
 
Vertriebskanalstruktur - Tools für das Strategische Management
Vertriebskanalstruktur - Tools für das Strategische ManagementVertriebskanalstruktur - Tools für das Strategische Management
Vertriebskanalstruktur - Tools für das Strategische Management
 
Familia Colombiana
Familia ColombianaFamilia Colombiana
Familia Colombiana
 

Similaire à Slides apéri tic e securite 10 2013

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
UbaldKouokam
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
simomans
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Microsoft
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
Digital Thursday
 
Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)
Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)
Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)
LinuQ
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
NetExplorer
 

Similaire à Slides apéri tic e securite 10 2013 (20)

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
 
Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)
Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)
Linux, un système plus sécuritaire que Windows? (Dominique Bérubé)
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
 

Plus de elaugier

Le graphisme d'un site internet !
Le graphisme d'un site internet !Le graphisme d'un site internet !
Le graphisme d'un site internet !
elaugier
 
Aperitic CMS briancon janvier 2015
Aperitic CMS briancon janvier 2015Aperitic CMS briancon janvier 2015
Aperitic CMS briancon janvier 2015
elaugier
 
M-Commerce Apéri'TIC 19/06/2014 - GAP
M-Commerce Apéri'TIC 19/06/2014 - GAPM-Commerce Apéri'TIC 19/06/2014 - GAP
M-Commerce Apéri'TIC 19/06/2014 - GAP
elaugier
 
Apéri'TIC 15/05/2014 - M-COMMERCE
Apéri'TIC 15/05/2014 - M-COMMERCEApéri'TIC 15/05/2014 - M-COMMERCE
Apéri'TIC 15/05/2014 - M-COMMERCE
elaugier
 
E-Réputation apéri tic 17.04.2014
E-Réputation apéri tic 17.04.2014E-Réputation apéri tic 17.04.2014
E-Réputation apéri tic 17.04.2014
elaugier
 
Slides apéri tic e reputation v2
Slides apéri tic e reputation v2Slides apéri tic e reputation v2
Slides apéri tic e reputation v2
elaugier
 
20140220 les réseaux sociaux - aperi tic gap franck et james
20140220  les réseaux sociaux - aperi tic gap franck et james20140220  les réseaux sociaux - aperi tic gap franck et james
20140220 les réseaux sociaux - aperi tic gap franck et james
elaugier
 
20140116 les réseaux sociaux - aperi tic briançon
20140116  les réseaux sociaux - aperi tic briançon20140116  les réseaux sociaux - aperi tic briançon
20140116 les réseaux sociaux - aperi tic briançon
elaugier
 
Aperitic le cms
Aperitic le cmsAperitic le cms
Aperitic le cms
elaugier
 
20131010 les réseaux sociaux - speed dating business
20131010  les réseaux sociaux - speed dating business20131010  les réseaux sociaux - speed dating business
20131010 les réseaux sociaux - speed dating business
elaugier
 

Plus de elaugier (10)

Le graphisme d'un site internet !
Le graphisme d'un site internet !Le graphisme d'un site internet !
Le graphisme d'un site internet !
 
Aperitic CMS briancon janvier 2015
Aperitic CMS briancon janvier 2015Aperitic CMS briancon janvier 2015
Aperitic CMS briancon janvier 2015
 
M-Commerce Apéri'TIC 19/06/2014 - GAP
M-Commerce Apéri'TIC 19/06/2014 - GAPM-Commerce Apéri'TIC 19/06/2014 - GAP
M-Commerce Apéri'TIC 19/06/2014 - GAP
 
Apéri'TIC 15/05/2014 - M-COMMERCE
Apéri'TIC 15/05/2014 - M-COMMERCEApéri'TIC 15/05/2014 - M-COMMERCE
Apéri'TIC 15/05/2014 - M-COMMERCE
 
E-Réputation apéri tic 17.04.2014
E-Réputation apéri tic 17.04.2014E-Réputation apéri tic 17.04.2014
E-Réputation apéri tic 17.04.2014
 
Slides apéri tic e reputation v2
Slides apéri tic e reputation v2Slides apéri tic e reputation v2
Slides apéri tic e reputation v2
 
20140220 les réseaux sociaux - aperi tic gap franck et james
20140220  les réseaux sociaux - aperi tic gap franck et james20140220  les réseaux sociaux - aperi tic gap franck et james
20140220 les réseaux sociaux - aperi tic gap franck et james
 
20140116 les réseaux sociaux - aperi tic briançon
20140116  les réseaux sociaux - aperi tic briançon20140116  les réseaux sociaux - aperi tic briançon
20140116 les réseaux sociaux - aperi tic briançon
 
Aperitic le cms
Aperitic le cmsAperitic le cms
Aperitic le cms
 
20131010 les réseaux sociaux - speed dating business
20131010  les réseaux sociaux - speed dating business20131010  les réseaux sociaux - speed dating business
20131010 les réseaux sociaux - speed dating business
 

Slides apéri tic e securite 10 2013

  • 1. E-Sécurité 14 Octobre 2013 CROSASSO Benjamin benjamin@alpinfra.fr @alpinfra
  • 3. Définition (1/3) • Intégrité – La donnée doit être intègre : • Elle ne doit pas avoir été altérée – Lors du stockage par du matériel défaillant (RAID : détection d’une altération grâce au stockage sur plusieurs disques) – Lors de l’écriture ou de la lecture par un logiciel défaillant • Sauvegarde (restauration, mais uniquement après avoir détecté la corruption) • Antivirus
  • 4. Définition (2/3) • Disponibilité – La donnée doit être accessible : • • • • Disponibilité du stockage (RAID) Disponibilité du serveur/logiciel qui utilise cette donnée Disponibilité des réseaux transportant l’information Disponibilité du périphérique (Ordinateur, Tablette utilisant cette donnée)
  • 5. Définition (3/3) • Confidentialité – La donnée ne doit être accessible que par les personnes autorisées : • Nécessité d’identifier/authentifier les utilisateurs • Gestion des droits d’accès à la donnée – Recommandation : tracer les actions des utilisateurs dans un journal.
  • 6. Risques (1/2) • Dommages financiers : – Disponibilité • Un site web marchand n’est pas utilisable suite à un bug applicatif. Diagnostic et correction : pas de site web pendant x heures. – Intégrité des données • Un virus a modifié la base de données d’un site web marchand en divisant tous les prix par 2 : détection, restauration de la sauvegarde, indisponibilité pendant la restauration • Indisponibilité du site web pendant x heures, des commandes à traiter avec des prix incorrects. – Confidentialité • La base de données du site web a été entièrement téléchargée par l’attaquant : la base de données clients (CB), prix d’achats, etc…
  • 7. Risques (2/2) • Dégradation de l’image de marque : exemple de Sony – http://www.theregister.co.uk/2011/05/24/sony_p laystation_breach_costs/ – “The cost of a criminal intrusion that exposed sensitive data for more than 100 million Sony customers and resulted in a 23-day closure of the PlayStation Network will cost the company at least $171 million, executives said.”
  • 8. Menaces • Interne : – Le plus courant : utilisateur de l’entreprise insouciant ou mal intentionné. • Programme malveillant : – Virus, malware (pub, SPAM) • Personne malveillante : – La pire des situations : l’attaque est ciblée et personnalisée – APT (Advanced Persistent Threat)
  • 9. Comment se propage un malware ? • Action volontaire de l’utilisateur : – Ecran de veille gratuit Aquarium Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les avertissements. • Faille de sécurité : – Exemple côté utilisateur : Internet Explorer – http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028 – Exemple côté serveur web : XSS (Cross Site Scripting) – http://fr.wikipedia.org/wiki/Cross-site_scripting Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte ! Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et Acrobat Reader, demain ?
  • 10. Marché noir des failles de sécurité • Chercheur en sécurité très honnête : – Informe l ’éditeur, attend le correctif, publie sa découverte – Les éditeurs payent les découvertes : Google, Mozilla par exemple • Chercheur en sécurité honnête : – Informe l ’éditeur, attend 30 jours, publie – Chercheur en sécurité : – Vend la faille de sécurité au plus offrant (certaines failles peuvent dépasser les 100 000 €) • Une faille de sécurité est ensuite associée à un payload (charge utile) pour être utilisée. Windows XP : fin de support en avril 2014
  • 11. Que faire ? (1/3) • Intégrer la sécurité lors de toute décision touchant le système d’information : – Evaluer à l’aide des trois critères principaux les bénéfices et les risques « La sécurité fait partie des critères pour bien choisir un prestataire. »
  • 12. Que faire ? (2/3) • Défense en profondeur : – Sensibilisation des utilisateurs • Mise en place d’une charte / guide d’utilisation de l’outil informatique – Sécurité logique • • • • Authentification des utilisateurs, rôles, logs Mises à jour régulières des logiciels Sauvegardes PRA/PCA (Plan de reprise / continuité d’activité)
  • 13. Que faire ? (3/3) • Défense en profondeur : – Sécurité des transmissions • • • • Firewall IPS / IDS (Intrusion Prevention/Detection System) VPN (Virtual Private Network) Cryptage des données (Clé USB, portables…) – Attention aux clés USB : vecteur d’infection virale très important ! – Sécurité physique • Porte verrouillée • Contrôle d’accès • Vidéo surveillance
  • 14. Stuxnet • Un malware conçu pour attaquer une cible industrielle déterminée : Installations nucléaires iraniennes => cyber arme • C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels • Le virus s’attaque aux systèmes Windows à l’aide de quatre attaques dont trois « zero day » • En février 2011, Symantec publie une analyse complète de Stuxnet. Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés. http://fr.wikipedia.org/wiki/Stuxnet
  • 15. Merci