Christophe Casalegno, profile picture
Téléchargé parChristophe Casalegno
PDF, PPTX994 vues

Systemes vulnerables

Le document aborde la vulnérabilité inhérente à tous les systèmes d'information due à l'imperfection humaine dans leur conception, fabrication, installation et configuration. Il met en évidence l'importance de chaque maillon de la chaîne de sécurité et souligne que la sécurité d'un système ne doit jamais être considérée comme acquise, nécessitant une vigilance constante et des pratiques rigoureuses. Enfin, il mentionne que la sécurité doit être appliquée à plusieurs niveaux, chaque mécanisme pouvant à la fois renforcer la protection et créer de nouvelles failles potentielles.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
Les systèmes vulnérables Christophe Casalegno Groupe Digital Network
Systèmes vulnérables « Tous les systèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au mieux un ignorant, et au pire un escroc » Christophe Casalegno
Systèmes vulnérables POURQUOI ?
Systèmes vulnérables Il est facile de comprendre pourquoi : - Les composants sont imaginés par des humains - Les ordinateurs sont imaginés par des humains - Les systèmes d'exploitation sont imaginés par des humains - Les protocoles sont imaginés par des humains - Les machines qui les fabriques sont imaginées par des humains... Les humains sont imparfaits La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
Systèmes vulnérables LA CHAÎNE DE VULNERABILITES
Systèmes vulnérables LE PREMIER MAILLON La conception
Systèmes vulnérables LE SECOND MAILLON La fabrication
Systèmes vulnérables LE TROISIEME MAILLON L'installation
Systèmes vulnérables L'installation d'un système reste aujourd'hui encore l'une des clef de voûte de sa sécurité. Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc. Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement. Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
Systèmes vulnérables LE QUATRIEME MAILLON La configuration
Systèmes vulnérables C'est à cette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc. Plus de 90 % des erreurs sont commises à cette étape. La configuration d'un système d'information ne doit jamais être faite au hasard. Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
Systèmes vulnérables Les erreurs pouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de : - l'absence / le non respect de la classification de l'information - l'absence / le non respect de la politique de sécurité - l'absence / le non respect des procédures d'installation - l'absence / le non respect de la composante sécurité des procédures - le manque de documentation concernant les applications à déployer - le manque de formation adaptée intégrant la composante sécurité
Systèmes vulnérables LE CINQUIEME MAILLON L'exploitation
Systèmes vulnérables Avoir un système d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile. La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur. De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité. Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
Systèmes vulnérables Chaque instant qui passe influence la sécurité du système d'information. Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo. Le cracker, le pirate qui souhaite pénétrer un système a tout son temps. Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
Systèmes vulnérables Il ne faut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable. La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions : - rares - difficiles - rapidement détectées - compartimentées
Systèmes vulnérables LES MECANISMES DE SECURITE Les règles de la sécurité physique ne s'appliquent pas aux systèmes d'information
Systèmes vulnérables Quand on s'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié : 1) Le disque dur est dans un coffre 2) Le coffre est dans une chambre forte 3) La chambre forte est dans un bâtiment sécurisé 4) Le bâtiment est entouré d'une enceinte sécurisée Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
Systèmes vulnérables Dans un système d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple : - Sécurité par l'hôte - Sécurité par le réseau - Identification / authentifications multiples - Contrôle de l'intégrité des données - Haute disponibilité - Non répudiation des données Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.

Contenu connexe

PDF
Sécurite operationnelle des systèmes d'information Volet-1
parPRONETIS
 
PDF
Sécurite operationnelle des Systèmes d'Information Volet-2
parPRONETIS
 
PDF
Sécurité des systèmes d’information industriels
parPRONETIS
 
PDF
Sécurite opérationnelle des Système d'Information Volet-3
parPRONETIS
 
PDF
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
PDF
Le guide de l'hygiène informatique
parNRC
 
PDF
Gouvernance de la sécurite des Systèmes d'Information Volet-2
parPRONETIS
 
PDF
Guide hygiene informatique_anssi
parSamy Ntumba Tshunza
 
Sécurite operationnelle des systèmes d'information Volet-1
parPRONETIS
 
Sécurite operationnelle des Systèmes d'Information Volet-2
parPRONETIS
 
Sécurité des systèmes d’information industriels
parPRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
parPRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
Le guide de l'hygiène informatique
parNRC
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
parPRONETIS
 
Guide hygiene informatique_anssi
parSamy Ntumba Tshunza
 

Tendances

PDF
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
parpolenumerique33
 
PDF
Ree cybersecurite
parsidomanel
 
PDF
ANSSI - fiche des bonnes pratiques en cybersécurité
parpolenumerique33
 
PDF
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
parEric DUPUIS
 
PPTX
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
parCyber Security Alliance
 
PDF
Guide d'hygiène informatique - ANSSI - 2014
parpolenumerique33
 
PDF
Bq101 g formation-ibm-security-qradar-siem-foundations
parCERTyou Formation
 
PDF
Secur formation-securite-systemes-et-reseaux
parCERTyou Formation
 
PPTX
Intelligence économique : Le monitoring
parKhalifa Tall
 
PDF
Detection des-incidents-de-securite-1036-k8qjjj
parTchadowNet
 
PDF
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
parCERTyou Formation
 
PDF
Architecture de sécurité en environnement Microsoft Windows
parChristian Toinard
 
PPT
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
PPTX
Ssi
parHanae Guenouni
 
PDF
F-Secure Business Suite
parNRC
 
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
parpolenumerique33
 
Ree cybersecurite
parsidomanel
 
ANSSI - fiche des bonnes pratiques en cybersécurité
parpolenumerique33
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
parEric DUPUIS
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
parCyber Security Alliance
 
Guide d'hygiène informatique - ANSSI - 2014
parpolenumerique33
 
Bq101 g formation-ibm-security-qradar-siem-foundations
parCERTyou Formation
 
Secur formation-securite-systemes-et-reseaux
parCERTyou Formation
 
Intelligence économique : Le monitoring
parKhalifa Tall
 
Detection des-incidents-de-securite-1036-k8qjjj
parTchadowNet
 
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
parCERTyou Formation
 
Architecture de sécurité en environnement Microsoft Windows
parChristian Toinard
 
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
Ssi
parHanae Guenouni
 
F-Secure Business Suite
parNRC
 

En vedette

PPTX
Social Media für Unternehmen (Stand: Mai 2012)
parChristian Möller
 
PPTX
el chavo
paryeferson201
 
PPTX
Situaciones de aprendizaje en ambientes virtuales
parrafael_mtz_mtz
 
PDF
Sistemasoperativos
pargciayasminsalirrosascarbajal
 
PPTX
Telecommande bft-brcb-tx2
parSPAREKA
 
PDF
Tilaaja tuottaja-seminaari Juhani Lehto
parTilTu-seminaari
 
PDF
Denys Frank Hackert
partyl61yy4ca
 
PDF
Morethanhoney
parMarin Slavkov
 
DOCX
APRENDER A APRENDER
paryoselyn katty santa cruz Rodriguez
 
PDF
La innovación en la constitución
parandrea_medina36
 
PDF
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
parOECD Directorate for Financial and Enterprise Affairs
 
PDF
7 sins facebook
parthjnkloved
 
PDF
مخطوطة كاملة
parسمير بسيوني
 
PDF
Fitoterapicos farmacotecnica
parMariana Ramos
 
PPTX
Vom Return on Invest zum Return on Expectations
parscil CH
 
PPTX
Deporte en mexico
parArturo Dionicio Lara
 
PPTX
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
parUnternehmensgruppe SeniVita
 
PDF
Tc burger
parTembuakar Corp
 
PPTX
Maroc_2
parninja_la_tortue
 
PPTX
Gallinitas
parbrayitan0701
 
Social Media für Unternehmen (Stand: Mai 2012)
parChristian Möller
 
el chavo
paryeferson201
 
Situaciones de aprendizaje en ambientes virtuales
parrafael_mtz_mtz
 
Sistemasoperativos
pargciayasminsalirrosascarbajal
 
Telecommande bft-brcb-tx2
parSPAREKA
 
Tilaaja tuottaja-seminaari Juhani Lehto
parTilTu-seminaari
 
Denys Frank Hackert
partyl61yy4ca
 
Morethanhoney
parMarin Slavkov
 
APRENDER A APRENDER
paryoselyn katty santa cruz Rodriguez
 
La innovación en la constitución
parandrea_medina36
 
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
parOECD Directorate for Financial and Enterprise Affairs
 
7 sins facebook
parthjnkloved
 
مخطوطة كاملة
parسمير بسيوني
 
Fitoterapicos farmacotecnica
parMariana Ramos
 
Vom Return on Invest zum Return on Expectations
parscil CH
 
Deporte en mexico
parArturo Dionicio Lara
 
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
parUnternehmensgruppe SeniVita
 
Tc burger
parTembuakar Corp
 
Maroc_2
parninja_la_tortue
 
Gallinitas
parbrayitan0701
 

Similaire à Systemes vulnerables

PDF
Full-Securite-System-Découvrir les notions de base de la sécurité .pdf
parfol3edes
 
DOC
La sécurité des systèmes d’information
parlara houda
 
PDF
Introduction à la sécurité des SI
parJean-Michel Tyszka
 
PPTX
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
PPT
Introduction à la sécurité e-commerce.ppt
paryanguirania
 
PDF
siris1.pdf
parssuserdd27481
 
PDF
1- Les bases de la sécurité informatique.pdf
parbadrboutouja1
 
PPT
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
PPT
Sysinfosec.ppt
parssuseraa8ee7
 
PPTX
Introduction to Computer Security.en.fr_...Ecr.pptx
parfayrahmoune
 
PDF
Auris solutions-risque-si-2012
parAuris Solutions
 
PPT
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
PDF
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
PPTX
Securite1 cours 1 securite cours 1 .pptx
parraniachaib83
 
PDF
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
parUbaldKouokam
 
PDF
Sécurité des systèmes d'information
parFranck Franchin
 
PDF
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
0241-formation-securite-informatique.pdf
pardaniel896285
 
PDF
Cours_securite informatique.pdf
parhamzamiz0
 
Full-Securite-System-Découvrir les notions de base de la sécurité .pdf
parfol3edes
 
La sécurité des systèmes d’information
parlara houda
 
Introduction à la sécurité des SI
parJean-Michel Tyszka
 
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
Introduction à la sécurité e-commerce.ppt
paryanguirania
 
siris1.pdf
parssuserdd27481
 
1- Les bases de la sécurité informatique.pdf
parbadrboutouja1
 
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
Sysinfosec.ppt
parssuseraa8ee7
 
Introduction to Computer Security.en.fr_...Ecr.pptx
parfayrahmoune
 
Auris solutions-risque-si-2012
parAuris Solutions
 
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
Securite1 cours 1 securite cours 1 .pptx
parraniachaib83
 
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
parUbaldKouokam
 
Sécurité des systèmes d'information
parFranck Franchin
 
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
0241-formation-securite-informatique.pdf
pardaniel896285
 
Cours_securite informatique.pdf
parhamzamiz0
 

Systemes vulnerables

  • 1.
    Les systèmes vulnérables ChristopheCasalegno Groupe Digital Network
  • 2.
    Systèmes vulnérables « Tous lessystèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au mieux un ignorant, et au pire un escroc » Christophe Casalegno
  • 3.
  • 4.
    Systèmes vulnérables Il estfacile de comprendre pourquoi : - Les composants sont imaginés par des humains - Les ordinateurs sont imaginés par des humains - Les systèmes d'exploitation sont imaginés par des humains - Les protocoles sont imaginés par des humains - Les machines qui les fabriques sont imaginées par des humains... Les humains sont imparfaits La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
  • 5.
  • 6.
    Systèmes vulnérables LE PREMIERMAILLON La conception
  • 7.
    Systèmes vulnérables LE SECONDMAILLON La fabrication
  • 8.
  • 9.
    Systèmes vulnérables L'installation d'unsystème reste aujourd'hui encore l'une des clef de voûte de sa sécurité. Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc. Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement. Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
  • 10.
    Systèmes vulnérables LE QUATRIEMEMAILLON La configuration
  • 11.
    Systèmes vulnérables C'est àcette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc. Plus de 90 % des erreurs sont commises à cette étape. La configuration d'un système d'information ne doit jamais être faite au hasard. Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
  • 12.
    Systèmes vulnérables Les erreurspouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de : - l'absence / le non respect de la classification de l'information - l'absence / le non respect de la politique de sécurité - l'absence / le non respect des procédures d'installation - l'absence / le non respect de la composante sécurité des procédures - le manque de documentation concernant les applications à déployer - le manque de formation adaptée intégrant la composante sécurité
  • 13.
  • 14.
    Systèmes vulnérables Avoir unsystème d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile. La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur. De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité. Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
  • 15.
    Systèmes vulnérables Chaque instantqui passe influence la sécurité du système d'information. Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo. Le cracker, le pirate qui souhaite pénétrer un système a tout son temps. Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
  • 16.
    Systèmes vulnérables Il nefaut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable. La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions : - rares - difficiles - rapidement détectées - compartimentées
  • 17.
    Systèmes vulnérables LES MECANISMESDE SECURITE Les règles de la sécurité physique ne s'appliquent pas aux systèmes d'information
  • 18.
    Systèmes vulnérables Quand ons'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié : 1) Le disque dur est dans un coffre 2) Le coffre est dans une chambre forte 3) La chambre forte est dans un bâtiment sécurisé 4) Le bâtiment est entouré d'une enceinte sécurisée Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
  • 19.
    Systèmes vulnérables Dans unsystème d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple : - Sécurité par l'hôte - Sécurité par le réseau - Identification / authentifications multiples - Contrôle de l'intégrité des données - Haute disponibilité - Non répudiation des données Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.