You are on page 1of 36

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee

S´curit´ informatique: introduction e e
License Pro
Renaud Tabary: tabary@enseirb.fr

2008-2009

License Pro

Introduction ` la s´curit´ informatique a e e

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee

D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art

Plan

1 G´n´ralit´s e e e

D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art
2 La s´curit´ en entreprise e e 3 R´f´rences ee

License Pro

Introduction ` la s´curit´ informatique a e e

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee

D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art

D´finition de la s´curit´ informatique e e e

Definition Information security is the protection of information [Assets] from a wide range of threats in order to ensure business continuity, minimize business risks and maximize return on investment and business opportunities.

License Pro

Introduction ` la s´curit´ informatique a e e

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art S´curit´ informatique e e Les syst`mes informatiques sont au coeur des syst`mes e e d’information Ils sont devenus la cible de ceux qui convoitent l’information Assurer la s´curit´ de l’information implique d’assurer la e e s´curit´ des syst`mes informatiques e e e License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art La s´curit´ des syst`mes d’informations e e e License Pro Introduction ` la s´curit´ informatique a e e .

SPAM e-commerce Espionnage industriel License Pro Introduction ` la s´curit´ informatique a e e .G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Qui sont les pirates ? Peut ˆtre n’importe qui avec l’´volution et la vulgarisation des e e connaissances Beaucoup d’outils sont disponibles sur Internet Trois g´n´rations : e e 80’s-90’s : techniciens ´clair´s e e 1990-2000 : script kiddies 2000-aujourd’hui : l’ins´curit´ devient facilement rentable e e Pub.

Extorsion. DOS) e e a Prendre le contrˆle d’une ressource (BotNets) o R´cup´rer de l’information sur un syst`me (Espionnage e e e industriel) G´n´rer des revenus : (Vol. Publicit´) e e e License Pro Introduction ` la s´curit´ informatique a e e .G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Quels sont leurs objectifs Objectifs des attaques : Prouver ses comp´tences techniques e Repr´sailles e D´sinformer (ex : Amazon) e Empˆcher l’acc`s ` une ressource (Bombes logiques.

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Les risques pour l’entreprise Les risques encourus par l’entreprise : Les risque strat´giques e Destruction/alt´ration de donn´es e e Exemple : Boeing (57000$ apr`s une intrusion) e Vol de donn´es strat´giques e e Exemple : Gartner William Malik (900 M$) Les autres risques Le commerce electronique Exemple : Kevin Mitnick et Netcom Piratage de site web Image de marque. militantisme License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art La s´curit´. un march´ porteur e e e License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Plan 1 G´n´ralit´s e e e D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art 2 La s´curit´ en entreprise e e 3 R´f´rences ee License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Objectifs Les trois princpaux objectifs de la s´curit´ infromatique : e e Confidentialit´ e Int´grit´ e e Disponibilit´ e License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Confidentialit´ e Definition Propri´t´ d’une donn´e dont la diffusion doit ˆtre limit´e aux ee e e e seules personnes autoris´es e Menaces : Ecoute du r´seau e Interne Externe Contre-mesures : Cryptographie (chiffrement) Des donn´es e Des communications Vol de fichiers Donn´es e Mots de passe Contrˆle d’acc`s o e Logique (mot de passe) Physique (biom´trie) e Espionnage Ing´nierie sociale e License Pro Classification des actifs Formation du personnel Introduction ` la s´curit´ informatique a e e .

syst`mes de e d´tection d’intrusion e (IDS) D´sinformation e Erreurs humaines Politique de sauvegarde License Pro Introduction ` la s´curit´ informatique a e e . virus Bombes logiques Syst`mes de d´tection e e Antivirus.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Int´grit´ e e Definition Propri´t´ d’une donn´e dont la valeur est conforme ` celle d´finie ee e a e par son propri´taire e Contre-mesures : Cryptographie Signature. authentification Menaces : Attaques malicieuses Vers.

au moment mˆme o` la sollicitation en est e e e u faite Menaces : Attaques malicieuses Denis de services SPAM Contre-mesures : Pare-feu Syst`mes de d´tection e e d’intrusions Clustering Formation des administrateurs Introduction ` la s´curit´ informatique a e e Attaques accidentelles Le ”Slashdot effect” Pannes License Pro . ee d´lai ou d´gradation.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Disponibilit´ e Definition Propri´t´ d’un S.I capable d’assurer ses fonctions sans interruption.

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Les actifs de l’entreprise Que prot´ger ? e Definition Les actifs informationnels repr´sentent l’ensemble des donn´es et e e des syst`mes de l’information n´cessaires au bon d´roulement e e e d’une entreprise Base de donn´es clients e Vente et Marketing Codes sources Equipe de developpement Base de donn´es des e employ´s e Ressources humaines Base de donn´es usagers e Equipe syst`me e Portail web Vente License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Objectifs (reformul´s) : e La s´curit´ de l’information consiste ` prot´ger les actifs e e a e informationnels afin d’assurer l’int´gralit´ de leurs propri´t´s e e ee Les actifs et leurs propri´t´s sont d´finis par les objectifs ee e d’affaire License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Plan 1 G´n´ralit´s e e e D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art 2 La s´curit´ en entreprise e e 3 R´f´rences ee License Pro Introduction ` la s´curit´ informatique a e e .

plus de 50% ont e subit des pertes financi`res li´es ` des attaques informatiques e e a Croissance de l’Internet Ouverture des r´seaux de communication e Succ`s des technologies nomades (t´l´phones.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Un constat amer Evolution des risques : En 2005. sur 218 entreprises europ´ennes. pda) e ee Augmentation du nombre d’attaques Technologies plus complexes et moins maitris´es e Changement de profil des pirates License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Type des attaques Types d’attaques r´pertori´es en 2006 : e e License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art D´lais des attaques e Evolution des d´lais entre d´couverte d’une vuln´rabilit´ et e e e e exploitation : License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee D´finition et enjeux e Les objectifs de la s´curit´ informatique e e Etat de l’art Les coˆts de l’ins´curit´ u e e License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Plan 1 G´n´ralit´s e e e 2 La s´curit´ en entreprise e e Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion 3 R´f´rences ee License Pro Introduction ` la s´curit´ informatique a e e .

une organisation doit ˆtre mise en place.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion D´finition e Definition Les politiques de s´curit´ sont des ´nonc´s g´n´raux dict´es par les e e e e e e e cadres sup´rieurs d´crivant le rˆle de la s´curit´ au sein de e e o e e l’entreprise afin d’assurer les objectifs d’affaire. e D´finition des rˆles. des responsabilit´s et des imputabilit´s e o e e License Pro Introduction ` la s´curit´ informatique a e e . Pour mettre en oeuvre ces politiques.

e D´terminer quelles sont les vuln´rabilit´s toujours pr´sentes e e e e D´terminer leurs impacts sur les objectifs initiaux e License Pro Introduction ` la s´curit´ informatique a e e .fonctionnalit´ : e e e D´finir les besoins.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Politique de s´curit´ e e Compromis s´curit´ . e D´terminer les actifs ` prot´ger et leurs propri´taires e a e e Quelles sont leurs valeurs ? Quelles sont leurs criticit´s ? e Quelles sont leurs propri´t´s ? ee D´terminer les menaces repr´sentant des risques e e Quels sont les acteurs ? attaqueurs ? Quels sont leurs moyens ? D´terminer les objectifs ` atteindre e a Quelles sont les propri´t´s des actifs ` prot´ger ? ee a e Proposer une solution. D´terminer les contre-mesures ` mettre en place e a ´ Evaluer les risques r´siduels.

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Politique de s´curit´ (2) e e Cr´ation d’une politique de s´curit´ : e e e Mise en oeuvre Audit Tests d’intrusion D´tection d’incidents e R´actions e Restauration License Pro Introduction ` la s´curit´ informatique a e e .

clusif.commoncriteriaportal.asso.asso.ssi.fr/fr/production/mehari Crit`res Communs (http ://www.fr/fr/confiance/ebios.org) e La norme ISO 17799 Pr´sentation : e http ://www.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Politique de s´curit´ (3) e e Quelques m´thodes : e EBIOS (Expressions des Besoins et Identification des Objectifs de S´curit´) http ://www.pdf License Pro Introduction ` la s´curit´ informatique a e e .html e e MEHARI (MEthode Harmonis´e d’Analyse de Risques) e http ://www.clusif.fr/fr/production/ouvrages/pdf/PresentationISO17799-2005.gouv.

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Exemple ISO 17799 License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Plan 1 G´n´ralit´s e e e 2 La s´curit´ en entreprise e e Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion 3 R´f´rences ee License Pro Introduction ` la s´curit´ informatique a e e .

.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Logiciel de s´curit´ par excellence ? e e Pare-feu ? Antivirus ? Syst`me de d´tection d’intrusions ? e e . ? PowerPoint ! ! ! License Pro Introduction ` la s´curit´ informatique a e e ..

le march´ de la s´curit´ r´seau ´tait ´valu´ ` 45 e e e e e e ea milliards USD Constat L’approche traditionnelle de s´curiser le p´rim`tre du r´seau ne e e e e semble pas ad´quate puisque nous avons toujours les mˆmes e e probl`mes e Raisons : Le manque d’information des utilisateurs La qualit´ des logiciels e License Pro Introduction ` la s´curit´ informatique a e e .G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Le probl`me e L’industrie de la s´curit´ e e En 2003.

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Le rˆle du d´veloppeur o e La s´curit´ des logiciels est donc critique ! e e 50 % des vuln´rabilit´s proviennent des erreurs de conception e e 50 % des vuln´rabilit´s proviennent des erreurs e e d’impl´mentation e D´passement de m´moire et d’entier e e Concurrence critique Microsoft’s Trustworthy Computing Initiative M´mo de Bill Gates en janvier 2002 pr´sente la nouvelle e e approche de Microsoft de d´velopper des logiciels s´curis´s e e e Microsoft aurait d´pens´ plus de 300 millions USD e e Workshop on Rapide Malware 2006 Un panel reconnaissait l’impact de cette initiative sur la pr´valence des vers et des virus e License Pro Introduction ` la s´curit´ informatique a e e .

etc. en W .) e Politique qualit´ au sein de l’entreprise (ISO.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Solution Plusieurs solutions : D´veloppement fiable (cycle en V . CMMI) e Informer ! License Pro Introduction ` la s´curit´ informatique a e e .

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Plan 1 G´n´ralit´s e e e 2 La s´curit´ en entreprise e e Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion 3 R´f´rences ee License Pro Introduction ` la s´curit´ informatique a e e .

guides et r`gles connues e Informer License Pro Introduction ` la s´curit´ informatique a e e .G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Politique de s´curit´ e e Le rˆle de l’informaticien o Conclusion Conclusion La s´curit´ informatique ne doit plus ˆtre ignor´e ! e e e e Connaissez-vous vous-mˆme e D´terminer les actifs qui doivent ˆtre prot´g´s et leurs e e e e propri´t´s ee D´terminer les objectifs ` atteindre e a Connaissez vos ennemis D´terminer les menaces contre lesquelles ils doivent ˆtre e e prot´g´s e e R´agissez ! e Politique de s´curit´ e e Principes.

G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Quelque liens Plan 1 G´n´ralit´s e e e 2 La s´curit´ en entreprise e e 3 R´f´rences ee Quelque liens License Pro Introduction ` la s´curit´ informatique a e e .

..rootshell.com (FR) http ://sid.org http ://www. License Pro Introduction ` la s´curit´ informatique a e e .com http ://www.org http ://www.hoobie.com et beaucoup d’autres .rstack.securityfocus.miscmag.net http ://packetstorm.security.org/blog (FR) http ://www.G´n´ralit´s e e e La s´curit´ en entreprise e e R´f´rences ee Quelque liens Liens utiles http ://www.sans.