systemes vulnerables
DESCRIPTION
Sécurité de l'information : les systèmes vulnérables. Pourquoi tous les systèmes d'information sont vulnérables ?TRANSCRIPT
Les systèmes vulnérables
Christophe CasalegnoGroupe Digital Network
Systèmes vulnérables
« Tous les systèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au
mieux un ignorant, et au pire un escroc »
Christophe Casalegno
Systèmes vulnérables
POURQUOI ?
Systèmes vulnérables
Il est facile de comprendre pourquoi :
- Les composants sont imaginés par des humains- Les ordinateurs sont imaginés par des humains- Les systèmes d'exploitation sont imaginés par des humains- Les protocoles sont imaginés par des humains- Les machines qui les fabriques sont imaginées par des humains...
Les humains sont imparfaits
La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
Systèmes vulnérables
LA CHAÎNE DE VULNERABILITES
Systèmes vulnérables
LE PREMIER MAILLONLa conception
Systèmes vulnérables
LE SECOND MAILLONLa fabrication
Systèmes vulnérables
LE TROISIEME MAILLONL'installation
Systèmes vulnérables
L'installation d'un système reste aujourd'hui encore l'une des clef de voûte de sa sécurité.
Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc.
Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement.
Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
Systèmes vulnérables
LE QUATRIEME MAILLONLa configuration
Systèmes vulnérables
C'est à cette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc.
Plus de 90 % des erreurs sont commises à cette étape.
La configuration d'un système d'information ne doit jamais être faite au hasard.
Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
Systèmes vulnérables
Les erreurs pouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de :
- l'absence / le non respect de la classification de l'information- l'absence / le non respect de la politique de sécurité- l'absence / le non respect des procédures d'installation- l'absence / le non respect de la composante sécurité des procédures- le manque de documentation concernant les applications à déployer- le manque de formation adaptée intégrant la composante sécurité
Systèmes vulnérables
LE CINQUIEME MAILLONL'exploitation
Systèmes vulnérables
Avoir un système d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile.
La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur.
De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité.
Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
Systèmes vulnérables
Chaque instant qui passe influence la sécurité du système d'information.
Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo.
Le cracker, le pirate qui souhaite pénétrer un système a tout son temps.
Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
Systèmes vulnérables
Il ne faut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable.
La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions :
- rares - difficiles- rapidement détectées- compartimentées
Systèmes vulnérables
LES MECANISMES DE SECURITELes règles de la sécurité physique ne s'appliquent
pas aux systèmes d'information
Systèmes vulnérables
Quand on s'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié :
1) Le disque dur est dans un coffre
2) Le coffre est dans une chambre forte
3) La chambre forte est dans un bâtiment sécurisé
4) Le bâtiment est entouré d'une enceinte sécurisée
Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
Systèmes vulnérables
Dans un système d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple :
- Sécurité par l'hôte - Sécurité par le réseau- Identification / authentifications multiples- Contrôle de l'intégrité des données- Haute disponibilité- Non répudiation des données
Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.