(Sécurité Intoduction (Mode de Compatibilité) )

Audit et scurit des SI - Olfa Mechi
01/03/2013
Institut Suprieur dInformatique de Mahdia
Objectifs Introduction la Scurit des systmes dinformation

Ralis par Olfa Gaddour
Olfa.gaddour_isima@yahoo.com
Objectif du cours Matriser les notions de base relatives la scurit Connaitre les objectifs de la scurit et les mcanismes mettre en place pour assurer la scurit des systmes dinformation
2012-2013
01/03/2013
Introduction la scurit Informatique_Olfa Gaddour
Sommaire - Introduction
Partie I:Introduction
Quest ce que la scurit ? Quoi protger ? Pourquoi ? Contre qui ? Qui croire ? Comment protger ? La politique de scurit.
01/03/2013
Partie I_ Audit et scurit des SI _ Olfa Mechi
01/03/2013
Quest ce que la scurit ?

La scurit recouvre l'ensemble de techniques informatiques permettant de rduire au maximum les chances de fuites d'information, de modification de donnes ou de dtrioration des services. Elle consiste un trs grand nombre de mthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.
Quest ce que la scurit (2) ?

"Scuriser" consiste utiliser une ou plusieurs de ces techniques dans le but d'lever le niveau de scurit d'un systme ou d'une architecture.
Quoi protger ?
L Information au sens large.
Voix et Vido Informations Non numrises Scurit des systmes dinformation
Quoi protger (3) ?

Les actifs.
Les actifs sont caractriss par leur type et surtout par leur valeur
Actifs dinformations
Fichiers de donnes, bases de donnes Procdures et manuels utilisateurs, archives.
Archives
Scurit des Rseaux et changes
Scurit des systmes
Scurit juridique
Scurit des dveloppements
Quelle que soit la forme prise par linformation ou quels que soient les moyens par lesquels elle est transmise ou stocke, il faut quelle soit toujours protge de manire approprie.
Actifs physiques
Serveurs informatiques, PC, portables, Matriels rseaux, PABX, units de climatisation.
Actifs applicatifs
Progiciels, logiciels spcifiques, Systmes dexploitation, outils de dveloppement, utilitaires.
Actifs lis la fourniture de services

Services gnraux (alimentation lectrique, climatisation, etc)
LA SECURITE DE LINFORMATION
7
Seulement 40 50% des informations ncessaires pour faire fonctionner une entreprise sont enregistres sur des supports lectroniques
01/03/2013
Pourquoi protger ?
Linformation est une ressource stratgique, une matire premire, elle est un atout pour celui qui la possde et donc attise souvent les convoitises Les S.I. facilitent laccs linformation
Ils grent de grandes quantits dinformation et peuvent la rende accessible depuis nimporte quel point du globe
Pourquoi protger?
Les consquence retenir
Vol dinformations et du savoir faire
Dans un contexte de haute technologie notamment
Atteinte limage de marque

NASA, e-bay, Wanadoo, RSA,
La destruction dun S.I. peut permettre danantir une entit de manire anonyme et sans faire un seul mort La loi, la rglementation et lthique seront toujours en retard sur la technique Les individus se comportent rarement comme on lattend
Le comportement dun individu confront des situations inhabituelles et critiques est imprvisible
9
Indisponibilit du service
e-business,
Perte de temps et de moyen humains

Remise en service, recherche des dgradations
Tache TRES difficile, peut ncessiter des moyens normes
Pertes financires !
Modification des montants de facture Perte dexploitation 10 Erreurs de traitement
Contre qui ?
Les menaces Les diffrents types de pirates Les diffrentes arnaques et attaques Les accidents et inconsciences
Contre qui ? - Critres

Comment caractriser les agresseurs ?
Leurs comptences techniques Le temps qu'ils sont prts passer pour russir Leurs motivations Leurs moyens Leurs connaissances pralables de la cible
11
12
01/03/2013
Attaques
Attaque != Vulnrabilit Attaque
Action de malveillance consistant tenter de contourner les fonctions de scurit dun SI (ISO)
Vulnrabilit
Faiblesse ou faille dans les procdures de scurit, les contrles administratifs, les contrles internes dun systme
Partie II:Introduction la Securit des systmes informatiques

01/03/2013 Introduction la scurit Informatique_Olfa Gaddour
13
Plan
Definitions Objectifs de la scurit informatique Sources de vulnrabilit des systmes informatiques Types des menaces Origines et types des attaques Les effets dune attaque Principaux outils de dfense Politique de scurit
Dfinitions (1/3)
systme dinformation :
Lensemble des moyens ncessaires llaboration, au traitement, au stockage, lacheminement et lexploitation des informations SI reprsente un patrimoine essentiel de lentreprise la confidentialit et la disponibilit de linformation constitue un enjeu trs important pour la comptitivit de lentreprise
01/03/2013
01/03/2013
Dfinitions (2/3)
La scurit du systme dinformation :
Ensemble de mesures de scurit physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer: La confidentialit des donnes de son systme d'information La protection de ses biens informatiques la continuit de service
OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Scurit informatique : dfinition. In : BVc
Dfinitions (3/3)
Les systmes informatiques sont au cur des systmes dinformation Ils sont devenus la cible de ceux qui convoitent linformation Assurer la scurit de linformation implique lassurance la scurit des systmes informatiques.
La scurit informatique
La science qui permet de sassurer que celui qui consulte ou modifie des donnes du systme en a lautorisation
01/03/2013
01/03/2013
Cours A. Jemai - Introduction la Scurit Informatique-2008

Objectifs de la scurit informatique

Les principaux objectifs garantir:
Authentification : vrifier lidentit des personnes qui veulent manipuler
linformation
Pourquoi les systmes sont-ils vulnrables ?(1/2)

Vulnrabilit
Faille ou bug pouvant tre utilis pour obtenir un niveau daccs illicite une ressource dinformations ou des privilges suprieurs ceux considrs comme normaux pour cette ressource La vulnrabilit caractrise les composants du systme(matriel, logiciel, les rgles, les procdures, personnel) susceptibles dtre attaques avec succs Une vulnrabilit est exploite par une menace pour causer une perte Exemples de vulnrabilits : Utilisation des mots de passe non robustes Prsence de comptes non protgs par mot de passe
Confidentialit : Linformation ne peut tre connue que par les personnes

autorises
Disponibilit : Linformation doit tre utilisable la demande Intgrit : Linformation ne doit pas tre altre ou dtruite par accident
ou malveillance
Non rpudiation :
01/03/2013
Labsence de possibilit de contestation dune action une fois celle-ci est effectue
01/03/2013
01/03/2013
Pourquoi les systmes sont-ils vulnrables ?(2/2)

La scurit est cher et difficile: Les organisations nont pas de budget pour a La scurit ne peut tre sr 100%, elle est mme souvent inefficace La politique de scurit est complexe et base sur des jugements humains Les organisations acceptent de courir le risque, la scurit nest pas une priorit De nouvelles technologies (et donc vulnrabilits) mergent en permanence Les systmes de scurit sont faits, grs et configurs par des hommes
Les types des menaces(1/2)
01/03/2013
Introduction la scurit Informatique_Olfa Gaddourz
22
Les types des menaces(2/2)

- Accident - Erreur - Malveillance
Les accidents
Incendie, explosion, Dgat des eaux Problme dintgrit du batiment Catastrophes naturelles Pannes
Internes Logiciel de base Externes (ex: climatication, alimentation, )
Livre de Systmes dinformations organisationnelles (Tome 2) :chapitre XI de M louadi

Choc, collision, chute, pollution, rayonnement,

01/03/2013 Introduction la scurit Informatique_Olfa Gaddour 24
01/03/2013
Erreurs
Erreurs de saisie, de transmission de donnes Erreurs dexploitation Erreurs de conception dans la ralisation ou la mise en oeuvre des:
Logiciels procdures
Malveillance
Un logiciel malveillant (malware en anglais) est un logiciel dvelopp dans le but de nuire un systme informatique Un logiciel espion (spyware): fait de la collecte dinformations personnelles sur lordinateur dun utilisateur sans son autorisation. Ces informations sont ensuite transmises un ordinateur tiers
25 01/03/2013 Introduction la scurit Informatique_Olfa Gaddour 26
Disponibilit des personnes

Evolution des menaces

Accidents 24%: en baisee (effets matriels palpables Erreurs 14% en forte baisse (amlioration de la qualit des logiciels Malveillance 62% en forte hausse (en prgression constante)
Attaque virale: porte drobe (backdoor)

Programme malicieux permettant le controle total dune machine Fonctionnalits:
Capture Ecran, clavier, camra, carte son Transfert de fichiers Capture des mots de passe Excution de programme Etc.
01/03/2013
Attaques virales: cheval de Troie (Torjan)

Programme, jeu, commande ayant une fonction annonce et en ralisant une autre (illicite)
Attaque classique Sexcute linsu de lutilisateur
Exemple de cheval de Troie

Back Orifice: logiciel dadministration et de prise de controle distance de machines utilisant Windows Subseven: lun des chevaux de Troie les plus connus, en 200 il a introduit:
Surveillance par camra (webcam capture) Surveillance en temps rel du bureau Windows (Desktop Capture) Le vol de mot de passe Permet la capture-clavier (Keylogger) pour rcuprer les numros de carte de crdits
Le moyen de transport est souvent la messagerie ou un site web

Autres chevaux de Troie: ByteVerify, XXXDial,

Attaques virales: bombe logique

Une bombe logique est une partie dun programme malveillant(virus, cheval de Troie, etc.) qui reste dormante dans le systme hote jusqu ce quun instant ou un vennement survienne, ou encore que certaines conditions soient runies, pour dclencher des effets dvastateurs en son sein Le Virus Tchernobyl, qui fut lun des virus les plus destructeurs, avait une bombe logique qui sest active le 26 avril 1999, jour de 13eme anniversaire de la catastrophe nuclaire de Tchernobyl.
Attaques virales: virus

Un virus est un programme qui se rplique en sattachant un autre objet Anatomue du virus: Une routine de rplication
-
Cette partie est obligatoire pour tre un virus
Une routine de type payload

Partie optionnelle qui effectue une action Destruction, Vol dinformation, etc. Affichage dune image ou vido, etc. Son, etc. 01/03/2013 Introduction la scurit Informatique_Olfa Gaddour
-
32
01/03/2013
Attaques virales: ver (worm)

Processus parasite qui consomme, dtruit et se propage sur le rseau
Na pas besoin dun programme parasite pour se reproduire (cotrairement au virus) Se reproduit pas des propres moyens sans contaminer de programme hote Souvent crits sous forme de script intgrs dans un courriel, une page html internet worm en 1988 atteinte de milliers de 01/03/2013 33 stations Unix en 24h.
Attaques virales: canular (hoax)

Messages diffusant de fausses alertes ou virus Messages diffusant des rumeurs
Encombrement des boites aux lettres Encombrement du rseau Ralentissement de lactivit
01/03/2013
34
attaques techniques : Hameonnage (Phishing)

Piegeage de lutilisateur en lui faisant croire quil sadresse un tiers de confiance pour lui soutirer les informations confidentielles (mot de passe, num de carte de crdit, etc) On lui demande son mot de passe On lui demande de le changer Exemple: services bancaires en ligne, sites de vente aux enchres (Ebay)
Exemple Hameonnage (Phishing)

Lutilisateur recoit ce message:
01/03/2013
36
01/03/2013
Attaques techniques : Craquage (Cracking)

Craquage de mot de passe
laveuglette Comparaison du chiffrement de mots de passe supposs et de mots chiffrs dans le fichier /etc/passwd ou /etc/ypasswd
attaques techniques : Renifflage (Sniffing)

Analyse de trafic pour rcuprer mots de passe et informations confidentielles Sondes places sur le rseau pour couter et rcuprer des informations la vole Solutions: protocoles de communication scuriss (ex: SSH, SSL)
01/03/2013
37
01/03/2013
38
attaques techniques : Mascarade (Spoofing)

Utilisation de ladresse IP dune machine afin den usurper lidentit Rcupration de laccs des informations en se faisant passer la machine dont elle a usurp ladresse IP Cration de paquets IP avec une adresse IP source appartenant quelquun dautre
Attaques techniques : Les scanners

Technique didentification des systmes et des applications distance
01/03/2013
40
10
01/03/2013
attaques techniques : le port scanning
attaques techniques : enregistreur de frappe (keylogger)

Permet denregistrer toutes les touches du clavier Envoie des informations par: Mail FTP HTTP Etc. Invisible sur la machine pour un utilisateur standard Partie I_ Audit et scurit des SI _ Disponible en logiciel commercial
Olfa Mechi 42
01/03/2013
41
01/03/2013
attaques techniques : le pourriel (spam)

Le pourriel (spam): un courrier lectronique non sollicit, la plupart du temps de la publicit Ils encombrent le rseau, et font perdre du temps leurs destinataires;
attaques techniques: mail bombing

Le mail bombing consiste envoyer un nombre faramineux demails (plusieurs milliers par exemple) un ou des destinataires Lobjectif tant de:
Saturer le serveur de mails Saturer la bande passante du serveur et du ou des destinataires Partie I_ Audit et scurit des SI _ Rendre impossible aux destinataires de 01/03/2013 Olfa Mechi 44 continuer utiliser ladresse lectronique
01/03/2013
Partie I_ Audit et scurit des SI _ Olfa Mechi
43
11
01/03/2013
Les effets dune attaque

Attaque passive : cest la moins dangereuse - Ne modifie pas linformation - Consultation de linformation Attaque active : ce type dattaque est dangereux - Modifie ltat dune information, dun serveur ou dune communication - Connexion frauduleuse un host ou un rseau - Altration des messages en transit sur un rseau (Denis de service)
Qui reprsente un danger ?

Des utilisateurs
Pirate : celui qui distribue et vend des logiciels protgs sous copyright Hacker : Celui qui visite des ordinateurs qui ne lui appartiennent pas sans leurs causer des dommages mais pour personnaliser son systme Cracker :celui qui veut casser un systme et causer des dommages Les espions: Pirate pay par une entreprise ou un organisme concurrent pour rcolter (de faon frauduleuse) des informations sur un domaine prcis
01/03/2013
01/03/2013
Principaux outils de dfense (1/5)

Cryptographie :
Technique utilise pour assurer la confidentialit des informations Fonde sur des algorithmes mathmatiques pour rendre les donnes illisibles pour les personnes non autorises

La signature numrique
Un moyen qui permet de garantir lintgrit du message lors des changes des donnes Le principe de la signature numrique consiste appliquer une fonction mathmatique sur une portion du message qui est utilis comme emprunte digitale pour ce message
Utilise lors des changes des informations ou pour minimiser les dgts des vols(des ordinateurs portables, des disques,)
Algorithmes de Chiffrement et Communications scurises Abderrazak JEMAI
01/03/2013 Introduction la scurit Informatique_Olfa Gaddour 01/03/2013 Introduction la scurit Informatique_Olfa Gaddour
12
01/03/2013

Firewalls :
Un firewall est un systme ou un groupe de systme qui gre les contrles daccs entre deux rseaux Agit comme une barrire entre le rseau interne de lentreprise et lextrieur Rseau interne STOP

IDS (outil de Dtection dintrusion):
Ce logiciel met une alarme lorsqu'il dtecte que quelqu'un de non-autoris est entr sur le rseau Essaie de dtecter toute violation de privilge interne ou externe Types des IDS: -Les scanners des vulnrabilits testent la cible afin didentifier quelles sont les failles connues du systme -Les IDS host based dtectent des intrusions sur les hosts sur lesquels sont installs -Les IDS network based observent le trafic rseau directement
Firewall
STOP
Extrieur
Protger lentreprise des intrus et des accs non identifis

La scurit des rseaux http://www.guill.net/

Serveur Proxy Antivirus Programme de test de vulnrabilit
Politique de scurit (1/2)

Ensemble de rgles spcifiant: -Comment les ressources sont gres afin de satisfaire les exigences de la scurit - Quels sont les actions permises et les actions interdites Objectif: Empcher les violations de scurit telles que: accs non autoris, perte de donnes, interruption de services, etc
Implmentation: Partiellement automatise, mais toutes les personnes sont impliques.
01/03/2013
01/03/2013
13
01/03/2013
Politique de scurit (2/2)

Domaine dapplication: Elle doit fixer lensemble du personnel qui doit la respecter et lappliquer Domaine de responsabilit: administrateur systme, Dfinit les rgles pour : La gestion des mots de passe Lauthentification des utilisateurs Le contrle daccs (rseau et systme) Larchitecture du rseau La scurit du personnel (formation, ) La scurit physique, etc.
Conclusion
Aucune scurit n'est parfaite Des outils sont ncessaires, mais le travail quotidien est indispensable La scurit n'apporte qu'un gain indirect. Par consquent, il n'est pas facile de convaincre les dcideurs de l'entreprise
01/03/2013
01/03/2013
14

(Sécurité Intoduction (Mode de Compatibilité) )

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(Sécurité Intoduction (Mode de Compatibilité) )

Cargado por

Copyright:

Formatos disponibles

Audit et scurit des SI - Olfa Mechi

Institut Suprieur dInformatique de Mahdia

Objectifs Introduction la Scurit des systmes dinformation

Introduction la scurit Informatique_Olfa Gaddour

Partie I_ Audit et scurit des SI _ Olfa Mechi

Audit et scurit des SI - Olfa Mechi

Quest ce que la scurit ?

Quest ce que la scurit (2) ?

Quoi protger (3) ?

Scurit des Rseaux et changes

Scurit des systmes

Scurit des dveloppements

Actifs lis la fourniture de services

Audit et scurit des SI - Olfa Mechi

Atteinte limage de marque

Perte de temps et de moyen humains

Contre qui ? - Critres

Audit et scurit des SI - Olfa Mechi

Partie II:Introduction la Securit des systmes informatiques

Introduction la scurit Informatique_Olfa Gaddour

Audit et scurit des SI - Olfa Mechi

Introduction la scurit Informatique_Olfa Gaddour

Cours A. Jemai - Introduction la Scurit Informatique-2008

Objectifs de la scurit informatique

Pourquoi les systmes sont-ils vulnrables ?(1/2)

Confidentialit : Linformation ne peut tre connue que par les personnes

Introduction la scurit Informatique_Olfa Gaddour

Audit et scurit des SI - Olfa Mechi

Pourquoi les systmes sont-ils vulnrables ?(2/2)

Les types des menaces(1/2)

Introduction la scurit Informatique_Olfa Gaddourz

Les types des menaces(2/2)

Livre de Systmes dinformations organisationnelles (Tome 2) :chapitre XI de M louadi

Choc, collision, chute, pollution, rayonnement,

Audit et scurit des SI - Olfa Mechi

Disponibilit des personnes

Evolution des menaces

Attaque virale: porte drobe (backdoor)

Audit et scurit des SI - Olfa Mechi

Attaques virales: cheval de Troie (Torjan)

Exemple de cheval de Troie

Le moyen de transport est souvent la messagerie ou un site web

Autres chevaux de Troie: ByteVerify, XXXDial,

Attaques virales: bombe logique

Attaques virales: virus

Cette partie est obligatoire pour tre un virus

Une routine de type payload

Audit et scurit des SI - Olfa Mechi

Attaques virales: ver (worm)

Attaques virales: canular (hoax)

Encombrement des boites aux lettres Encombrement du rseau Ralentissement de lactivit

Introduction la scurit Informatique_Olfa Gaddour

attaques techniques : Hameonnage (Phishing)

Exemple Hameonnage (Phishing)

Introduction la scurit Informatique_Olfa Gaddour

Audit et scurit des SI - Olfa Mechi

Attaques techniques : Craquage (Cracking)

attaques techniques : Renifflage (Sniffing)

Introduction la scurit Informatique_Olfa Gaddour

Introduction la scurit Informatique_Olfa Gaddour

attaques techniques : Mascarade (Spoofing)

Attaques techniques : Les scanners

Introduction la scurit Informatique_Olfa Gaddour