La Sécurité
1-Objectifs de la sécurité
informatique
2-Définitions
3-Internet et le besoin de
sécurité
4- Méthode d’attaque
1-Objectifs de la
sécurité informatique
Les systèmes informatiques
sont au coeur des systèmes d´information.
Ils sont devenus la cible de
ceux qui convoitent l’information.
Assurer la sécurité de
l’information implique d’assurer la sécurité des systèmes informatiques.
·
Evolution des
risques
Croissance de l'Internet et
des attaques
Failles des technologies, des
configurations et politiques de sécurité
Changement de profil des
pirates
·
Objectifs de
la sécurité informatique
quatre principaux objectifs à
garantir:
Authentification :
login/mdp – empreinte digitale – carte magnétique…..
Disponibilité : garantie que
ces éléments considérés sont accessibles au moment voulu par les personnes
autorisées.
Intégrité : garantie que les
éléments considérés sont exacts et complets.
Confidentialité : garantie
que seules les personnes autorisées ont accès aux éléments considérés.
D'autres aspects peuvent
éventuellement être considérés comme des critères (bien qu'il s'agisse en fait
de fonctions de sécurité), tels que : la Traçabilité (tracer la personnes..….)
2-Définitions
·
Qu’est ce
qu’un hacker ?
Ce terme est généralement
utilisé dans le langage courant pour désigner un agresseur sur Internet.
Personne qui connaît
particulièrement bien le système utilisé et ses failles de sécurité et il peut même détecte les nouveaux points d’attaque
possibles sur les systèmes.
Généralement ces personnes
publient leurs découvertes sur des pages Web ou dans des groupes de nouvelle
·
Qu’est ce
qu’un cracker ?
Les crackers ne publient pas
leurs découvertes concernant les failles des systèmes, mais les utilisent pour
accéder à des ordinateurs qui ne leur appartiennent pas et obtenir par exemple
des droits d’administrateur.
Lorsqu’une tentative a
réussi, ils mettent généralement en place un accès permanent sur le système
cible et effacent les traces de leur effraction. Pour cela, ils installent des portes
dérobées (Backdoors) qui leur permettront d’accéder à tout instant à
l’ordinateur, si la voie utilisée initialement était verrouillée.
·
script kiddies
Terme péjoratif désignant les
pirates informatiques néophytes qui, dépourvus des principales compétences en
matière de gestion de la sécurité informatique, passent l'essentiel de leur
temps à essayer d'infiltrer des systèmes, en utilisant des scripts ou
programmes mis au point par d'autres. On pourrait traduire l'expression par «
Gamin utilisateur de scripts », mais le terme « script kiddie » est le seul
couramment utilisé.
·
Les types des
hackers
Black hat hacker, un hacker
qui pénètre par effraction dans des systèmes ou des réseaux dans un objectif
souvent personnel. Il essaie à tout prix de récupérer ce qu'il veut, peu
importe les dégâts
L’important c’est que son action se déroule Le plus possible
Grey hat hacker, un hacker hybride entre les chapeaux blancs et chapeaux noirs. On peut le définir comme un agent double : il peut aider (bénévolement, ou pas) à sécuriser divers réseaux, mais aussi à en exploiter d'autre...
Les hacktivistes ont une motivation principalement idéologique notamment
Revendique des idées
politiques en infiltrant des systèmes informatiques
(L'organisation célèbre
anonymous par exemple)
Suicide hackers : Ce type de hackers fait le travail illégal sans crainte de la police ou la loi
·
Cible des
pirates
Les états - Serveurs militaires - Banques
- Universités - Tout le monde
·
Menace
(threat)
- Une violation potentielle
de la sécurité, qui peut endommager le système de l'organisation
Les principales menaces :
Un utilisateur du système - Une
personne malveillante - Un programme
malveillant
Accidents
Incendie, explosion,
implosion dégât des eaux
pannes : internes (composant)
- logiciel de base
Externes (ex : climatisation,
alimentation,…)
Erreurs
Erreurs de saisie, de
transmission de données …
Malveillances
Fraude, sabotage - dénis de
service (DOS)
Snnifing - espionnage
Piratage de logiciel -
Menaces dues aux télécommunications
Interruptions de service ou
disfonctionnement
·
Vulnérabilités
(vulnerability)
Une faiblesse dans un système
informatique permettant à un attaquant de porter atteinte à l'intégrité de ce
système, c'est-à-dire à son fonctionnement normal, à la confidentialité et
l'intégrité des données qu'il contient.
Beaucoup d'applications sont
vulnérables dues à de la mauvaise programmation (par manque de temps, de
motivation, …) ou volontairement (aménagement d'un point d'entrée, …).
Certaines vulnérabilités
peuvent être gardées secrètes (à des fins d'espionnage, d'utilisation mafieuse,
…).
Toutes les applications ont
besoin de sécurité:
Services réseaux (daemons),
les applications téléchargées (applet java, …), les applications web (scripts
cgi , …)
Il arrive que la procédure
d'exploitation d'une faille d'un logiciel soit publiquement documentée et
utilisable sous la forme d'un petit logiciel appelé exploit.
Vulnérabilités
les plus courantes
"Backdoors"
laissées volontairement ou involontairement sur un service par le programmeur
Erreurs de programmation -
Débordements de tampons (buffer overflow)
Chaînes de format - Entrées
utilisateurs mal validées
Les problèmes de concurrence
etc...
Cible d'évaluation (Target of Evaluation)
Système - Elément de réseau -
Equipent à évaluer (ex. Serveur WEB)
Attaque
(Exploit)
Programme permettant
d'exploiter une faille de sécurité d'un logiciel ;
Un élément de programme
permettant à un individu ou un logiciel malveillant d'exploiter une faille de
sécurité informatique dans un système d'exploitation ou dans un logiciel que ce
soit à distance (remote exploit) ou sur la machine sur laquelle cet exploit est
exécuté (local exploit)
Prendre le contrôle d'un
ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un
logiciel ou d'un utilisateur, ou d'effectuer une attaque par déni de service
Attaques
Attaques passives :
Analyse du trafic - Écoute
sur le réseau (sniffing)
Attaques actives :
Action sur le trafic :
manipulation, destruction, modification traffic tampering)
Usurpation d’identité (IP
spoofing)
Saturation de réseau et déni
de service (IP flooding)
IP spoofing : un intrus
réussit à usurper l’identité d’une station.
But : bénéficier des mêmes
privilèges que la station usurpée.
Objectifs des attaques
Désinformer - Empêcher
l'accès à une ressource - Prendre le contrôle d'une ressource
Récupérer de l'information
présente sur le système
Utiliser le système compromis
pour rebondir
Constituer un réseau de « botnet » (ou réseau de machines zombies)
Contre-mesure
Caractéristique ou fonction permettant de réduire ou éliminer une ou plusieurs vulnérabilité(s) du système interne ou de contrer une ou plusieurs menace(s) externe(s).
Ce sont les procédures ou
techniques permettant de résoudre une vulnérabilité ou de contrer une attaque
spécifique (auquel cas il peut exister d'autres attaques sur la même
vulnérabilité).
3-Internet et le
besoin de sécurité
·
Sécurité de
l’information
Le CLUSIF est un club
professionnel français, constitué en association indépendante, ouvert à toute
entreprise ou collectivité.
Il accueille des
utilisateurs et des offreurs issus de tous les secteurs d'activité de
l'économie.
La finalité du CLUSIF est
d'agir pour la sécurité de l'information, facteur de pérennité des
entreprises et des collectivités publiques.
Il entend ainsi
sensibiliser tous les acteurs en intégrant une dimension transversale dans
ses groupes de réflexion : management des risques, droit, intelligence
économique ...
|
Principales Conséquences
Discontinuité de service qui
peut mettre l’activité de l’entreprise en péril
Perte du patrimoine
informationnel
L’erreur majeure est de sous
estimer ces risques et de ne pas les anticiper
80% des entreprises ayant
perdu leurs données font faillite dans les 12 mois qui suivent (Source Clusif)
Il est ainsi du devoir du
chef d'entreprise de manager et sécuriser ce patrimoine informationnel.
·
Exemples de
conséquences financières
Frais techniques de
réinitialisation du SI :
Remise en oeuvre du hard, des
programmes, du réseau
Reconstitution des données
(saisies, tests d’intégrité,…)
Pertes d’exploitation :
Impact sur le chiffre
d’affaires
Dépenses consenties pour
éviter ou limiter l’arrêt de l’activité
Fraude : valeurs d’argent
et/ou de biens détournés
Conséquences financières :
pertes directes
Coûts d’immobilisation des
installations de production
Coût du temps passé à la
restauration des systèmes
Coûts techniques de
remplacement de matériels ou de logiciels,…
Conséquences
juridiques :
Engagement de la
Responsabilité civile et pénale du chef d’entreprise en cas de faute
d’imprudence, de négligence ou de manquement à une obligation de prudence ou de
sécurité. Art 226-17
·
Attribution de
la fonction RSSI
La fonction de
Responsable de la Sécurité des Systèmes d’Information (RSSI) est-elle
clairement identifiée et attribuée ?
La fonction de Responsable de
la Sécurité des Systèmes d’Information (RSSI ou RSI) est de plus en plus
clairement identifiée et attribuée au sein des entreprises, ce qui marque un
net progrès par rapport aux années précédentes.
En effet, près de la moitié
d’entre elles bénéficient de ses services, alors qu’en 2012, plus de 45% des
organisations n’avaient pas pleinement identifié son rôle
Rattachement hiérarchique
du RSSI au sein de l’entreprise
Quel est le
rattachement hiérarchique du RSSI au sein de votre entreprise ?
Arrivée plus nombreuse de
RSSI au sein d’entreprises de tailles moyennes ayant un niveau de maturité en
SSI encore faible.
Effectif total de l’équipe
sécurité permanente au sein de l’entreprise
Quel est
l’effectif total de l’équipe sécurité permanente au sein de votre entreprise ?
Enfin, à présent, plus de 98%
des entreprises ont en permanence une équipe sécurité, alors qu’il y a deux
ans, seul près 80% des entreprises en bénéficiaient.
Toutefois, dans 72% des cas,
le RSSI est encore un homme ou une femme seul(e) ou en binôme seulement !….
Accès au Système
d'Information de l'entreprise
Quelle est votre
politique d’accès au Système d'Information de l'entreprise ?
Technologies de sécurité /
lutte antivirale, anti-intrusion, gestion des vulnérabilités
Quelles
technologies de sécurité utilisez-vous pour lutter contre les vulnérabilités,
les intrusions ?
Veille en vulnérabilités
et en solutions de sécurité
Réalisez-vous une
veille permanente en vulnérabilités et en solutions de sécurité ?
Audit
Les SI, qu’ils soient
directement développés en interne ou via des prestataires, voire acquis
(progiciels), se doivent d’être régulièrement surveillés d’un point de vue
sécurité.
Les vulnérabilités étant
monnaie courante, il convient de mettre en
place une veille et des processus de
mise à jour particuliers. Cette veille en vulnérabilités et en solutions de
sécurité est en nette progression. L’impact des failles publiées et faisant
régulièrement la une des journaux aidant sûrement à cette prise de conscience.
Formalisation des procédures de déploiement de correctifs de
sécurité
Avez-vous formalisé des procédures de déploiement de correctifs de
sécurité (patch management) ?
Typologie des incidents de
sécurité
Au cours de
l’année passée, à quel type d’incidents de sécurité votre entreprise a-t-elle
été soumise ?
4-Méthode
d’attaque
Menaces actives
Panne, mauvaise utilisation,
pertes d'informations
Contamination (virus, vers,
spyware) - Spam, phishing
Chevaux de troie (Backdoors)
- Dénis de services
Intrusions - Bombes logiques
For more informations, Read the book…..
Bonne Chance
mohameddouhaji7@gmail.com