Embed Size (px)
DESCRIPTION
Sécurité informatique: enjeux techniques et stratégiques. Université Paris XI - IFIPS Protego Informatique Nicolas Monier. Plan. Qu’est-ce que la sécurité informatique? Définition formelle Sécurité et cycle de vie d’un système informatique Quelques exemples concrets - PowerPoint PPT Presentation
Citation preview
Sécurité informatique: enjeux techniques et stratégiques
Université Paris XI - IFIPS
Protego Informatique
Nicolas Monier
Plan
Qu’est-ce que la sécurité informatique?• Définition formelle• Sécurité et cycle de vie d’un système informatique• Quelques exemples concrets
La sécurité informatique d’un point de vue technique• Quelques chiffres• Profil type des agresseurs• Techniques d’attaques • Contre-mesures
La sécurité informatique d’un point de vue management• Unité de mesure pour le manager: le risque• Outils d’analyse: méthodologies et normes
Qu’est ce que la sécurité informatique
Définition formelle
La sécurité informatique s’intéresse à deux composants:La sécurité informatique s’intéresse à deux composants:
- Les données électroniques. Les données électroniques.
- Les systèmes de traitement automatisés.Les systèmes de traitement automatisés.
La sécurité informatique vise à préserver pour les La sécurité informatique vise à préserver pour les composants précédents les propriétés suivantes:composants précédents les propriétés suivantes:
- L’intégrité (Modification illicite ou accidentelle impossible).L’intégrité (Modification illicite ou accidentelle impossible).
- La confidentialité (Accès illicite ou accidentel impossible).La confidentialité (Accès illicite ou accidentel impossible).
- La disponibilité (Accès licites garantis 100% du temps).La disponibilité (Accès licites garantis 100% du temps).
Ces propriétés doivent être préservées quelque soit le Ces propriétés doivent être préservées quelque soit le média utilisé par les données:média utilisé par les données:
- Liens réseau physiques ou radioLiens réseau physiques ou radio
- Disques ou bandesDisques ou bandes
- Rayonnements parasitesRayonnements parasites
ATTENTION: ne pas confondre ATTENTION: ne pas confondre système informatique et système informatique et système d’information.système d’information.
Sécurité et cycle de vie d’un système de sécurité
Spécification de l’application
Développement
Choix d’une plate-forme matérielle
Choix d’un système d’exploitation
Installation et paramétrage de l’application
Interfaçage avec des composantes externes
Tests
Installation et paramétrage du système
d’exploitation
Positionnement physique et logique de la plate-
forme
L’application La plate-forme
Maintenance et mise à jour
Génie logicielorienté sécurité
Audit de code
Analyse de lasécurité desBDD
Testsd’intrusion
Ingénieriesystème
Ingénierie système
Ingénierieréseau
Ingénierie systèmeIngénierie réseauSécurité organisationnelle
Quelques exemples concrets
2004: Laboratoire pharmaceutique infesté par un troyen 0-day. 2004: Laboratoire pharmaceutique infesté par un troyen 0-day. Disponibilité des systèmes de traitement et confidentialité des données Disponibilité des systèmes de traitement et confidentialité des données compromises.compromises.
2003: Serveur mail d’un constructeur de véhicules de chantier piraté. 2003: Serveur mail d’un constructeur de véhicules de chantier piraté. Mails redirigés sur le serveur d’un concurrent américain. Mails redirigés sur le serveur d’un concurrent américain. Confidentialité des données compromise. Confidentialité des données compromise.
2002: Système de changes d’une banque modifié par un employé malmené2002: Système de changes d’une banque modifié par un employé malmené par sa direction. Intégrité des données compromise.par sa direction. Intégrité des données compromise.
Les impacts: Pertes sèches à court terme liées à une perturbation de la Les impacts: Pertes sèches à court terme liées à une perturbation de la production. Pertes à moyen terme liées à une dégradationproduction. Pertes à moyen terme liées à une dégradation de l’image de marque. de l’image de marque.
La sécurité informatique d’un point de vue technique
Quelques chiffres
Le CERT CC, organisme de recensement et de publication des Le CERT CC, organisme de recensement et de publication des problèmes de vulnérabilité fournit les chiffres suivants (vulnérabilités déclarées):problèmes de vulnérabilité fournit les chiffres suivants (vulnérabilités déclarées):
2000-2004Year 2000 2001 2002 2003 1Q-3Q 2004
Vulnerabilities 1,090 2,437 4,129 3,784 2,683
2000-2003
Year 2000 2001 2002 2003
Incidents 21,756 52,658 82,094 137,529
Les chiffres des incidents (liés à des piratages) déclarés sont:Les chiffres des incidents (liés à des piratages) déclarés sont:
Le chiffrement des pertes liées aux agressions informatiques est impossible Le chiffrement des pertes liées aux agressions informatiques est impossible à effectuer de manière fiable: incidents pas toujours déclarés, outils de calculà effectuer de manière fiable: incidents pas toujours déclarés, outils de calculnon disponibles, recensement international difficile.non disponibles, recensement international difficile.
Profil type des agresseurs
- Les utilisateurs maladroits associés à des administrateurs incompétents.Les utilisateurs maladroits associés à des administrateurs incompétents.
- Les employés malveillants.Les employés malveillants.
- « Scripts kidies » ou « lamers ».« Scripts kidies » ou « lamers ».
- « White hats », « black hats » et « grey hats ».« White hats », « black hats » et « grey hats ».
- Professionnels de l’intelligence économique et stratégique. Professionnels de l’intelligence économique et stratégique. (privés ou gouvernementaux).(privés ou gouvernementaux).
- Terroristes supposés.Terroristes supposés.
Aucun chiffre fiable disponible quant au nombre et à la proportion Aucun chiffre fiable disponible quant au nombre et à la proportion des différents agresseurs. Mais de toute évidence, les employésdes différents agresseurs. Mais de toute évidence, les employésmalveillants et les « scripts kidies » sont ceux qui provoquent lemalveillants et les « scripts kidies » sont ceux qui provoquent lePlus de dégâts. Plus de dégâts.
Techniques d’attaques
- Usurpation d’identité (ex: IP, login/mot de passe).Usurpation d’identité (ex: IP, login/mot de passe).- Exploitation des défauts d’implantation ou de spécification des protocoles Exploitation des défauts d’implantation ou de spécification des protocoles réseau (ex: IP fragmentation, cassage de clefs WEP).réseau (ex: IP fragmentation, cassage de clefs WEP).- Exploitation de failles de codes. (ex: BoF).Exploitation de failles de codes. (ex: BoF).- Injection de données dans des entrées non validées (ex: SQL injection).Injection de données dans des entrées non validées (ex: SQL injection).- Déni de service par saturation des ressources (ex: syn flooding).Déni de service par saturation des ressources (ex: syn flooding).- Ingénierie Sociale.Ingénierie Sociale.- Exploitation de configurations erronées des OS et/ou des applicationsExploitation de configurations erronées des OS et/ou des applications (ex: exploitation du « ./ » dans le PATH root). Dit aussi « privilège escalation ».(ex: exploitation du « ./ » dans le PATH root). Dit aussi « privilège escalation ».
Buts: compromettre la disponibilité, la confidentialité et l’intégrité des donnéesButs: compromettre la disponibilité, la confidentialité et l’intégrité des données ou des systèmes de traitement automatisés. ou des systèmes de traitement automatisés.
Contre-mesures techniques
• Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique),Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique), blindage des OS et des applications.blindage des OS et des applications.
• Outils de sécurité d’accès: firewalls, tunnels chiffrés VPN ou SSL, Outils de sécurité d’accès: firewalls, tunnels chiffrés VPN ou SSL, serveurs d’authentification, PKI.serveurs d’authentification, PKI.
• Outils de détection d’intrusion: IDS réseau, IDS hôte, Scanners de Outils de détection d’intrusion: IDS réseau, IDS hôte, Scanners de vulnérabilités.vulnérabilités.
• Outils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAMOutils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAM et filtres URL, proxies et reverse-proxies, analyse et filtres URL, proxies et reverse-proxies, analyse
peer-to-peerpeer-to-peer • Outils de mise ne haute disponibilité: gestionnaires de bande passante, Outils de mise ne haute disponibilité: gestionnaires de bande passante, boîtiers d’équilibrage de charge, systèmesboîtiers d’équilibrage de charge, systèmes de clustering logiciel, protocoles de routagede clustering logiciel, protocoles de routage
et de redondance.et de redondance.
• Génie logiciel orienté sécurité: conception et écriture de code sûr.Génie logiciel orienté sécurité: conception et écriture de code sûr.
La sécurité informatique d’un point de vue management
Unité de mesure pour le manager: le risque
Deux informations intéressent le manager: L’ergonomie des outils Deux informations intéressent le manager: L’ergonomie des outils Informatiques (impliquant un gain de productivité) et l’estimation d’uneInformatiques (impliquant un gain de productivité) et l’estimation d’uneprobabilité d’un perte financière liée à un incident informatique.probabilité d’un perte financière liée à un incident informatique.Son but:Son but: maximiser le rapport productivité/coût. maximiser le rapport productivité/coût.
Le consultant sécurité ne répond pas à un besoin énoncé par le DSI maisLe consultant sécurité ne répond pas à un besoin énoncé par le DSI maisÀ des contraintes financières spécifiées par le DAF. L’informaticien doit donc À des contraintes financières spécifiées par le DAF. L’informaticien doit donc élargir son champs d’analyse:élargir son champs d’analyse: Minimiser l’impact de la sécurité sur l’ergonomie.Minimiser l’impact de la sécurité sur l’ergonomie. Prendre en compte la sécurité physique des systèmes (car le DAF considèrePrendre en compte la sécurité physique des systèmes (car le DAF considère tous les incidents et pas uniquement les malveillances).tous les incidents et pas uniquement les malveillances). Prendre en compte la sécurité organisationnelle.Prendre en compte la sécurité organisationnelle. Se doter d’outils d’analyse pour communiquer avec le DAF.Se doter d’outils d’analyse pour communiquer avec le DAF.
Risque informatique: valeur synthétique mesurant la probabilité d’exécution d’uneRisque informatique: valeur synthétique mesurant la probabilité d’exécution d’unemenacemenace exploitant la exploitant la vulnérabilitévulnérabilité d’un système, ayant un d’un système, ayant un impactimpact négatif sur le négatif sur le niveau de production.niveau de production.
Outils d’analyse: méthodes et normes
• Méthodologies institutionnelles: ITSEC, NSA books.
• Méthodologie non institutionnelle: OCTAVE.
• Méthodologie non institutionnelle: MEHARI.
• Norme internationale: IS0 17799.
La mesure du risque nécessite un audit. Ce dernier nécessite la création d’unLa mesure du risque nécessite un audit. Ce dernier nécessite la création d’unréférentiel de valeurs. On doit donc se doter de méthodes pour: (1) appréhenderréférentiel de valeurs. On doit donc se doter de méthodes pour: (1) appréhenderLa complexité du système d’information, (2) créer des échelles de valeur La complexité du système d’information, (2) créer des échelles de valeur Propres à l’entreprise.Propres à l’entreprise.
Les méthodes proposent toutes la création d’un cadre de référence,Les méthodes proposent toutes la création d’un cadre de référence,la définition d’un périmètre d’analyse et un système de calcul du risque.la définition d’un périmètre d’analyse et un système de calcul du risque.MAIS: elles ne proposent pas de technique de mise en œuvre, de contrôleMAIS: elles ne proposent pas de technique de mise en œuvre, de contrôleDe la durée, de répartition des tâches, d’intégration d’analyses de bas niveau. De la durée, de répartition des tâches, d’intégration d’analyses de bas niveau.
Conclusion
Beaucoup de fausses idées reçues sur le monde de la sécuritéBeaucoup de fausses idées reçues sur le monde de la sécuritéInformatique:Informatique:- Techniquement, le métier de la sécurité ne se cantonne pas Techniquement, le métier de la sécurité ne se cantonne pas au réseau.au réseau.- Plus généralement le consultant sécurité ne peut se cantonner sonPlus généralement le consultant sécurité ne peut se cantonner son périmètre d’investigation à l’informatique.périmètre d’investigation à l’informatique.- La sécurité n’est pas une question technique. C’est une questionLa sécurité n’est pas une question technique. C’est une question financière.financière.- On ne sait pas réellement évaluer l’ampleur des incidents On ne sait pas réellement évaluer l’ampleur des incidents informatiques.informatiques.- On ne dispose pas de méthodologie de conception ou d’auditOn ne dispose pas de méthodologie de conception ou d’audit mature.mature.
Questions ?
