quelques définitions concernant la sécurité informatique les objectifs: empêcher la divulgation...
TRANSCRIPT
Quelques définitions concernant la sécurité informatique
LES OBJECTIFS:
• Empêcher la divulgation non-autorisée de données
• Empêcher la modification non-autorisée de données.
• Empêcher l’utilisation non-autorisée de ressources
réseau ou informatiques
LES CHAMPS D’ APPLICATION:
• Sécurité réseaux
• Sécurité système
• Sécurité des données
ARCHITECTURE DES RESEAUX INFORMATIQUES
Postes de travail
Serveurs:- de fichiers- d’application- d’impression- Intranet
Routeur
Serveurs:- de domaine- Internet- Proxy- antivirus
FirewallDMZ:Serveurs:- WWW- DNS- SMTP- LDAP
V.P.N
Postes nomades
Unité de sauvegarde
RISQUES A EVITER
Risques liés aux stations de travail
Risques liés aux stations de travail nomades
Risques liés aux malveillances externes (menaces passives et actives)
Risques liés aux malveillances internes
Risques liés aux pertes de données (pannes matérielles, malwares, erreur de manipulation)
Risques liés aux contrôle d’accès
Risques liés aux malveillances externes
Risques liés à l’utilisation des boîtes à lettres électroniques
Les 5 piliers principaux de la sécurité informatique:
confidentialité authentification intégrité disponibilité non-répudiation
WIFI
Le poste de travailLes risques Les solutions à adopter
Pannes matérielles
Domaine concerné
Disponibilité Aucune solution véritablement efficace si ce n’est le double équipement et le clonage des postes ou / et
un contrat de maintenance prévoyant le remplacement
Erreurs de manipulation Disponibilité •Mise en place d’enregistrements multiples sur supports différents; automatique (système RAID, logiciel de sauvegarde …) ou manuelle (clé USB,
support amovible etc …).•Procédure de reconstruction des postes de travail
par clonage (pour erreurs « logicielles »)
Défaillances du contrôle d’accès Authentification
Confidentialité
Non-répudiation
•Mise en place d’une stratégie de contrôle d’accès aux ressources (logicielles et données) par identifiant
et mot de passe.•Elaboration de profil utilisateur (déterminant les
droits de chacun)•Limitation de la zone de couverture du réseau WIFI
•Sécurisation du réseau WIFI (SSID)
Les malwares
Spywares,Dialers, Downloaders, Droppers, Virus, Vers
Chevaux de troie, BackdoorMacros, Rootkits, Flooders
Intégrité
Disponibilité
•Mise en place d’une véritable politique de « prudence » (contrôle des supports amovibles, des
fichiers reçus ou téléchargés etc …•Mise en place et activation de logiciels de protection /
détection des malwares (antivirus, pare feu et solutions complètes de protection contre les
malwares)
Le poste de travail nomadeLes risques Les solutions à adopter
Pannes matérielles
Domaine concerné
Disponibilité Contrat de maintenance prévoyant le remplacement rapide du matériel défectueux
Problème de sécurisation des échanges
•Mise en place d’un réseau privé virtuel (VPN)•Mise en place d’une procédure de chiffrement des
données
Vol et oubli
Authentification
Confidentialité
•Mise en place sur le poste de travail nomade d’un contrôle d’accès ainsi que d’une sécurisation du
système (logicielles ou matérielles)•Favoriser les moyens d’identification par biométrie
Défaillances du contrôle d’accès
Intégrité
•Mise en place d’une zone démilitarisée (DMZ) contenant un annuaire (LDAP) permettant le contrôle
avant l’accès aux données internes
Confidentialité
Non-répudiation
Intégrité
Le courrier électroniqueLes risques Les solutions à adoptermessages interceptés, lus, modifiés ou transférés par des internautes autres que
leur auteur et leur destinataire
Domaine concerné
Disponibilité
le cryptage du contenu et des pièces jointes (logiciel de cryptage)
données personnelles utilisées sans l’accord de
leur titulaire
boîte aux lettres électronique inondée de
spams ou bombardée avec un nombre astronomique
de messages afin d’en bloquer l’accès (e-bombing
ou mail bomb)
Confidentialité
•Utilisation d’anti-spams•Adoptez une attitude prudente (ne pas communiquer
trop facilement son adresse électronique)•Créez deux comptes afin de séparer les mailings list
des autres courriels•Utilisez un logiciel contre les mail bombers (ex:
eremove)
ordinateur infecté par des virus, chevaux de trois etc … transportés dans des pièces
jointes attachées à des e-mails.
Intégrité
Disponibilité
•Mise en place d’un logiciel complet de protection contre les malwares
le cryptage du contenu et des pièces jointes (logiciel de cryptage)
Disponibilité
Confidentialité
Intégrité
Les pertes de donnéesLes risques Les solutions à adopter
Pertes dues à une suppression de fichier
accidentelle (confusion, erreur etc…)
Domaine concerné
Disponibilité
•Politique de formation sur les moyens de récupération des données sur le poste de travail
(poubelle, logiciel de type PC Inspector File Recovery ou Handy Recovery).
•Sensibilisation aux messages de confirmation d’action
•Utilisation de sauvegarde locale (matérielle ou logicielle)
Pertes dues à une panne matérielle grave sur un
serveur (d’identification, de fichiers etc …)
Pertes dues à une disparition totale de
données sur un réseau
Disponibilité
•Mise en place d’un SAN (zone du réseau dédié aux sauvegardes) ou d’un NAS (périphériques de
stockage réseau)•Mise en place de sauvegardes « échelonnées » sur
support amovible (streamer, DVD etc …)
Disponibilité
•Mise en place d’une procédure de clustering•Mise en place d’une réplication entre serveurs
•Clonage des serveurs avec procédure de reconstruction.
•Utilisation de disque RAID
Les malveillances internesLes risques Les solutions à adopter
Utilisation, modifications et divulgations de données
par un utilisateur du réseau ou du poste de travail non
autorisé
Domaine concerné•Non divulgation des identifiants et mots de passe
administrateur de domaine ou local•Mise en place d’une politique de profil utilisateur
définissant les rôles et les droits de chacun, en limitant l’accès en lecture / écriture / modification ou total
•Mise en place de contrôle d’accès supplémentaire pour les données sensibles.
•Contrôle des « logs » de connexion à Internet via le « proxy » du réseau
Pertes de données ou d’applications dues à un acte de malveillance d’un
utilisateur du réseau ou du poste de travail
Mise hors service d’un poste de travail ou d’un
serveur par un utilisateur du réseau
Disponibilité
•Pas de réels moyens de protection si ce n’est de rendre inaccessible (cadenas, non accessibilité
etc…) les unités centrales et leurs contenus
•Limiter les accès complets aux utilisateurs de confiance
•Conservation et consultation des fichiers de « logs »permettant l’identification des utilisateurs
•Procédure d’archivage et de protection des « masters » et code des applications informatiques
Non-répudiation
Intégrité
Non-répudiation
Disponibilité
Le contrôle d’accèsLes risques Les solutions à adopter
Accès aux ressources du réseau interne par un
utilisateur non autorisé
Domaine concerné•De façon générale un accès au réseau à partir d’un
couple « identifiant / mot de passe » réel est indécelable cependant quelques règles s’imposent.
•Contrôler et interdire l’utilisation de logiciels capable de « cracker » les mots de passe.
•Limiter le temps et le nombre d’accès infructueux au réseau
•Mise en place d’une charte de création des identifiants et mot de passe
•Changement régulier des identifiants et mots de passe•Recours le plus souvent possible aux réseaux privés
virtuels (VPN)•Contrôle des « logs » de connexion à Internet via le
« proxy » du réseau•Doubler le couple identifiant / mot de passe par un dispositif de type NAC (Network Admission Control)
analysant le statut de l’ordinateur désirant accéder au réseau.
•Mettre en place une procédure d’identification en lieu et place de l’authentification par contrôle biométrique par
exemple
Accès au réseau à l’aide d’un dispositif nomade
dérobé
•Sensibiliser les utilisateurs au risque d’enregistrement des identifiants / mots de passe sur
les dispositifs mobiles notamment•Réagir rapidement en supprimant les identifiants /
mots de passe concernés
authentification
Intégrité
Intégrité
authentification
Les malveillances externesLes risques Les solutions à adopter
Utilisation, modifications et divulgations de données
par un utilisateur du réseau ou du poste de travail non
autorisé
Domaine concerné•Non divulgation des identifiants et mots de passe
administrateur de domaine ou local•Mise en place d’une politique de profil utilisateur
définissant les rôles et les droits de chacun, en limitant l’accès en lecture / écriture / modification ou total
•Mise en place de contrôle d’accès supplémentaire pour les données sensibles.
•Contrôle des « logs » de connexion à Internet via le « proxy » du réseau
Pertes de données ou d’applications dues à un acte de malveillance d’un
utilisateur du réseau ou du poste de travail
Mise hors service d’un poste de travail ou d’un
serveur par un utilisateur du réseau
Disponibilité
•Pas de réels moyens de protection si ce n’est de rendre inaccessible (cadenas, non accessibilité
etc…) les unités centrales et leurs contenus
•Limiter les accès complets aux utilisateurs de confiance
•Conservation et consultation des fichiers de « logs »permettant l’identification des utilisateurs
•Procédure d’archivage et de protection des « masters » et code des applications informatiques
Non-répudiation
Intégrité
Non-répudiation
Disponibilité
http://www.securiteinfo.com/conseils/firewall.shtml