Scribd
Importer
81 vues56 pages

Introduction à la sécurité informatique

Transféré par

sow
Copyright
© All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPT, PDF, TXT ou lisez en ligne sur Scribd
81 vues56 pages

Introduction à la sécurité informatique

Transféré par

sow
Copyright
© All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PPT, PDF, TXT ou lisez en ligne sur Scribd

Université Université

De Boumerdes De Limoges

Département de physique/Infotronique
IT/S6

Introduction a la sécurité Informatique

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Résultat Réseaux Informatique
Réseaux Informatiques

Sécurité
Systèmes distribués Réseaux Avancés
informatique

Rappels TCP/IP Routage avancé


Client serveur (FTP, Réseaux Dynamiques:
Telnet, SSH,…) Réseaux Ad Hoc
Socket Réseaux P2P
NFS
RPC, CORBA, RMI
Algorithmes distribués
Réalisé par : Mr RIAHLA
Université Université
De Boumerdes De Limoges

Département de physique/Infotronique
IT/S5

Programme

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


4 parties

Introduction à la sécurité informatique


Menaces (failles de sécurité, Attaques et
vulnérabilités)
Protections
Gestion de la sécurité

Réalisé par : Mr RIAHLA 2008/2009


Introduction
à la sécurité informatique

Introduction (généralités et historiques).



Sureté et sécurité : ne pas confondre !

Exigences fondamentales et objectifs de la sécurité.

Etude des risques.

L’établissement d’une politique de sécurité.

Eléments d’une politique de sécurité.

Principaux défauts de sécurité.

Notion d'audit.

Réalisé par : Mr RIAHLA 2008/2009


Menaces
(failles de sécurité, Attaques et vulnérabilités)

Introduction
Les différents types de vulnérabilités
Virus, vers, chevaux de Troie et autres
Vulnérabilités applicatives
Vulnérabilités des réseaux
Espionnage

Réalisé par : Mr RIAHLA 2008/2009


Protections

Formation des utilisateurs


Poste de travail
Antivirus
Authentification et cryptage
Pare-feu (firewall) : translation, filtrage et proxies
Détection d’intrusion
Communications et applications sécurisées
VPNs
Réalisé par : Mr RIAHLA 2008/2009
Protections

2008/2009
Gestion de la sécurité

Définition d’une politique de sécurité.


Normes et standards de sécurité
L’audit.

Réalisé par : Mr RIAHLA 2008/2009


Objectif Principal

 Connaissances générales pour les


non spécialistes

 Une base pour les futurs spécialistes de


la Sécurité.

Réalisé par : Mr RIAHLA 10


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

Introduction
à la sécurité informatique

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

1. Introduction (historique)

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Historique (Kevin mitnick)

Réalisé par : Mr RIAHLA 13


Historique (Kevin mitnick)
Commencé à hacker des réseaux téléphoniques
Il a attaqués les machines de tsutomu
shimomura au centre du supercomputing
.
Il a pénétré dans les serveurs du WELL et a accédé
au courrier de markoff (un journaliste)

Il a été arrêté avec l'aide d'annonce du


shimomura et la société WELL

A servi 5 années en prison et interdit d'utiliser des


ordinateurs pour 2 années
Réalisé par : Mr RIAHLA 14
Historique (Kevin mitnick)

Il est maintenant Consultant


en sécurité informatique.

il a publié un livre traitant


de l'ingénierie sociale, IDS,

Réalisé par : Mr RIAHLA 15


Historique (DDOS)
Février 2000
Plusieurs sites Web majeurs non accessibles (ebay,
cnn, amazon, microsoft,....) pour quelques heures.
Ils sont inondés par un flux énorme de traffic
(jusqu'à 1 gbps), de plusieurs adresses.

Février 16h
Quelqu'un est suspecté pour avoir lancé les attaques

Avril15h
il est arrêté au canada, il a 15 ans

Réalisé par : Mr RIAHLA 16


Historique (DDOS)
Il a été condamné à 8 mois dans un centre de
détention

Avec un programme automatique, il était capable


de hacker 75 machines différentes dû à une
vulnérabilité dans leurs serveurs ftp

il a installé un programme d'attaque distribué sur


ces machines

Réalisé par : Mr RIAHLA 17


Historique (Autres)

MELLISA et autres bugs


Programme de l'opération bancaire à distance.
Virus, vers, spyware,…
Attaques réseaux
…etc

Réalisé par : Mr RIAHLA 18


Systèmes d’information

Un système d'information est généralement


défini par l'ensemble des données et des ressources
matérielles et logicielles de l'entreprise permettant
de les stocker ou de les faire circuler.

Organisation des activités consistant à acquérir,


stocker, transformer, diffuser, exploiter,
gérer... les informations.

Réalisé par : Mr RIAHLA 19


Systèmes d’information

20
Systèmes d’information

– Besoin de plus en plus d'informations

• Grande diversitée dans la nature des informations:


– données financières
– données techniques
– données médicales
–…

• Ces données constituent les biens de


l'entreprise et peuvent être très convoitées.

Réalisé par : Mr RIAHLA 21


Systèmes Informatiques
Un des moyens techniques pour faire fonctionner
un système d’information est d’utiliser un système
informatique (coeur).

Les Systèmes informatiques sont devenus la


cible de ceux qui convoitent l’information.

Assurer la sécurité de l’information implique


d’assurer la sécurité des systèmes
informatiques.

Réalisé par : Mr RIAHLA 22


Sécurité Informatique

Avec le développement de l'utilisation d'internet,


de plus en plus d'entreprises ouvrent leur système
d'information à leurs partenaires ou leurs
fournisseurs.

Il est donc essentiel de connaître les ressources de


l'entreprise à protéger et de maîtriser le contrôle
d'accès et les droits des utilisateurs du système
d'information.

23
Sécurité Informatique

La sécurité informatique c’est l’ensemble


des moyens mis en œuvre pour réduire la
vulnérabilité d’un système contre les
menaces accidentelles ou intentionnelles.

Réalisé par : Mr RIAHLA 24


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

2. Exigences fondamentales et objectifs

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Exigences fondamentales et objectifs

Origine des attaques

50% interne 50% externe

Exemple : Exemple:
• utilisateur malveillant, • Piratage, virus,
erreur involontaire,… intrusion…,..

Réalisé par : Mr RIAHLA


Exigences fondamentales et objectifs

Elles caractérisent ce à quoi s'attendent les


utilisateurs du systèmes informatiques en
regard de la sécurité.

La sécurité informatique vise généralement


cinq principaux objectifs :

Réalisé par : Mr RIAHLA 27


Exigences fondamentales et objectifs

L'intégrité, c'est-à-dire garantir que les données


sont bien celles que l'on croit être.

La confidentialité, consistant à assurer que


seules les personnes autorisées aient accès aux
ressources échangées.

La disponibilité, permettant de maintenir le bon


fonctionnement du système d'information.
.

Réalisé par : Mr RIAHLA 28


Exigences fondamentales et objectifs

La non répudiation, permettant de garantir qu'une


transaction ne peut être niée.

L'authentification, consistant à assurer que seules


les personnes autorisées aient accès aux ressources.

La sécurité recouvre ainsi plusieurs aspects :


respect de la vie privée (informatique et liberté).

Réalisé par : Mr RIAHLA 29


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

3. Sûreté et sécurité : ne pas confondre !!

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Sûreté et sécurité :
ne pas confondre !!

Sûreté de fonctionnement
Spécification formelle, preuve de programmes, test
de protocole de communication.

Domaine : Géni Logiciel


Principe général : Il faut vérifier que l'application
réalise exactement les tâches qu'on attend d'elle !!

Ce n'est pas le but de ce module!!

Réalisé par : Mr RIAHLA 31


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

4. Étude (analyse) des risques

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Étude (analyse) des risques

Il est nécessaire de réaliser une analyse de risque en


prenant soin d'identifier les problèmes potentiels
avec les solutions avec les coûts associés.

L'ensemble des solutions retenues doit être organisé


sous forme d'une politique de sécurité cohérente,
fonction du niveau de tolérance au risque.

On obtient ainsi la liste de ce qui doit être protégé.

Réalisé par : Mr RIAHLA 33


Evolution des risques

– Croissance de l'Internet
– Croissance des attaques
– Failles des technologies
– Failles des configurations
– Failles des politiques de sécurité
– Changement de profil des pirates

Réalisé par : Mr RIAHLA 34


Étude (analyse) des risques

Quelle est la valeur des équipements, des logiciels


et surtout des informations ?

Quel est le coût et le délai de remplacement ?

Faire une analyse de vulnérabilité des informations


contenues sur les ordinateurs en réseau
(programmes d'analyse des paquets, logs…).

Quel serait l’impact sur la clientèle d'une


information publique concernant des intrusions sur
les ordinateurs de la société ?
Réalisé par : Mr RIAHLA 35
Étude (analyse) des risques

Il faut cependant prendre conscience que les


principaux risques restent :
« câble arraché »,
« coupure secteur »,
« crash disque »,
« mauvais profil utilisateur », …

Réalisé par : Mr RIAHLA 36


Étude (analyse) des risques
Ce qu’il faut retenir

Inventaire des éléments du système à protéger


Inventaire des menaces possibles sur ces éléments
Estimation de la probabilité que ces menaces se
réalisent

Le risque « zéro » n’existe pas, il faut définir le


risque résiduel que l’on est prêt à accepter.

Réalisé par : Mr RIAHLA 37


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

5. Établissement d’une politique de sécurité


Réalisé par : Mr RIAHLA
Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Établissement d’une politique de sécurité

Il ne faut pas perdre de vue que la sécurité est


comme une chaîne, guère plus solide que son
maillon le plus faible

Une porte blindée est inutile dans un


bâtiment si les fenêtres sont ouvertes sur la
rue.

Réalisé par : Mr RIAHLA 39


Établissement d’une politique de sécurité

Suite à l’étude des risques et avant de mettre en


place des mécanismes de protection, il faut
préparer une politique à l'égard de la sécurité.

Une politique de sécurité vise à définir les


moyens de protection à mettre en œuvre

Réalisé par : Mr RIAHLA 40


Établissement d’une politique de sécurité

• Identifier les risques et leurs conséquences.


• Elaborer des règles et des procédures à mettre en
oeuvre pour les risques identifiés.
• Surveillance et veille technologique sur les
vulnérabilités découvertes.
• Actions à entreprendre et personnes à contacter en
cas de détection d'un problème.

Réalisé par : Mr RIAHLA 41


Établissement d’une politique de sécurité

Quels furent les coûts des incidents informatiques


passés ?

Quel degré de confiance pouvez-vous avoir envers


vous utilisateurs interne ?

Qu’est-ce que les clients et les utilisateurs espèrent


de la sécurité ?

Quel sera l’impact sur la clientèle si la sécurité est


insuffisante, ou tellement forte qu’elle devient
contraignante ?
Réalisé par : Mr RIAHLA 42
Établissement d’une politique de sécurité

Y a-t-il des informations importantes sur des


ordinateurs en réseaux ? Sont-ils accessible de
l’externe ?

Quelle est la configuration du réseau et y a-t-il des


services accessibles de l’extérieur ?

Quelles sont les règles juridiques applicables à


votre entreprise concernant la sécurité et la
confidentialité des informations ?

Réalisé par : Mr RIAHLA 43


Établissement d’une politique de sécurité

Mise en œuvre
• Audit
• Tests d'intrusion
• Détection d'incidents
• Réactions
• Restauration

Réalisé par : Mr RIAHLA 44


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

6. Éléments
Réalisé d’une politique de sécurité
par : Mr RIAHLA
Doctorant a l’université de limoge (France)

Réalisé par : Mr RIAHLA 2008/2009


Éléments d’une politique de sécurité

En plus de la formation et de la sensibilisation


permanente des utilisateurs, la politique de
sécurité peut être découpée en plusieurs parties :

Réalisé par : Mr RIAHLA 46


Éléments d’une politique de sécurité

Défaillance matérielle (vieillissement, défaut…)


Défaillance logicielle (bugs, MAJ…)
Accidents (pannes, incendies, inondations…)
Erreur humaine (Formation)
Vol via des dispositifs physique (disques et
bandes), Contrôler l'accès aux équipements
Virus provenant de disquettes
Piratage et virus réseau (plus complexe )
Réalisé par : Mr RIAHLA 47
Analyse de la Analyse de Politique de
situation risques sécurité

Mesures de
sécurité

Implémentation

validation

Réalisé par : Mr RIAHLA 48


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)
7. Principaux défauts de sécurité
Réalisé par : Mr RIAHLA 2008/2009
Principaux défauts de sécurité

Les défauts de sécurité d’un système d’information


les plus souvent constatés sont :

Installation des logiciels et matériels par défaut.

Mises à jours non effectuées.

Mots de passe inexistants ou par défaut.

Services inutiles conservés (Netbios…).

Traces inexploitées.
Réalisé par : Mr RIAHLA 50
Principaux défauts de sécurité

Pas de séparation des flux opérationnels des flux

d’administration des systèmes.

Télémaintenance sans contrôle fort.

Procédures de sécurité obsolètes (périmés).

Authentification faible.

Réalisé par : Mr RIAHLA 51


Principaux défauts de sécurité

l'état actif d'insécurité, c'est-à-dire la non


connaissance par l'utilisateur des fonctionnalités
du système, dont certaines pouvant lui être
nuisibles (par exemple le fait de ne pas désactiver
des services réseaux non nécessaires à l'utilisateur)

l'état passif d'insécurité, c'est-à-dire la


méconnaissance des moyens de sécurité mis en
place, par exemple lorsque l'administrateur d'un
système ne connaît pas les dispositifs de sécurité
dont il dispose.

Réalisé par : Mr RIAHLA 52


Réseaux Informtiques
Département de physique/Infotronique
IT/S5

Réalisé par : Mr RIAHLA


Doctorant a l’université de limoge (France)
8. Notion d'audit
Réalisé par : Mr RIAHLA 2008/2009
Notion d'audit

Un audit de sécurité consiste à s'appuyer sur un


tiers de confiance (généralement une société
spécialisée en sécurité informatique) afin de valider
les moyens de protection mis en œuvre, au regard
de la politique de sécurité.

L'objectif de l'audit est ainsi de vérifier que


chaque règle de la politique de sécurité est
correctement appliquée et que l'ensemble des
dispositions prises forme un tout cohérent.

Réalisé par : Mr RIAHLA 54


Notion d'audit

Un audit de sécurité permet de s'assurer que


l'ensemble des dispositions prises par l'entreprise
sont réputées sûres.

Réalisé par : Mr RIAHLA 55


Merci

Réalisé par : Mr RIAHLA 56

Vous aimerez peut-être aussi