20
alon MED-IT Casablanca (Novembre 2012) 1 Sécurité informatique (Risques, Approches et Bonnes pratiques)

Sécurité informatique ( R isques, Approches et Bonnes pratiques)

  • Upload
    elaina

  • View
    14

  • Download
    0

Embed Size (px)

DESCRIPTION

Sécurité informatique ( R isques, Approches et Bonnes pratiques). 1. - PowerPoint PPT Presentation

Citation preview

Page 1: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 1

Sécurité informatique

(Risques, Approches et Bonnes pratiques)

Page 2: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 2

Intervenant : Mr Xavier MOLTENI « Président de BASOM Consulting »

1. Le Système d’Information dans l’entreprise

2. Les objectifs de sécurité

3. Les impacts sur le business liés aux risques d’attaques

4. Prise de conscience des enjeux, une approche « Top-Down »

5. L’analyse d’impacts « Business Impact Analysis (BIA)

6. Quelques exemples de menaces informatiques pour l’entreprise

7. Une approche structurée et adaptée de la sécurité informatique

Sommaire

Page 3: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 3

8. L’information et la formation des collaborateurs

9. L’évolution des usages informatiques / Risques et enjeux

10. Questions - Réponses

Sommaire

Page 4: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 4

Dans un système économique en permanente évolution, le Système d’Information (SI) est aujourd’hui un élément clef de l'entreprise moderne lui permettant d’assurer une gestion efficace et de rester compétitive dans ses activités.  

Ces dernières années, la place prépondérante prise par l’informatique, que ce soit dans un contexte économique national ou international, est par conséquent à considérer au premier plan.

Dans ce contexte, il est fondamental pour une entreprise de s’assurer que son environnement SI répond aux critères de ;

Confidentialité d’Intégrité et de Disponibilité.

1. Le Système d’Information dans l’entreprise

Page 5: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 5

Le concept de gestion des risques a fait son apparition il y a environ 50 ans aux États-Unis dans le domaine financier. Par la suite, la notion de gestion des risques a été étendue à d’autres domaines comme par exemple ;

- l’environnement, - la gestion de projet, - le marketing…

Puis, quelques années plus tard à la sécurité informatique (qui constitue uniquement une partie des risques généralement associés aux activités nécessitant un SI).

2. Les impacts sur le business liés aux risques d’attaques

2.1 La gestion des risques (Rappel)

Page 6: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 6

Dans son expression la plus simple, la sécurité se compose de quatre blocs interdépendants.

1. « L’organisation / entreprise» définie par ses actifs ou ses biens (dont la définition est plus communément utilisée en Anglais « assets » dans le monde de la sécurité)

2. « Les objectifs de sécurité » définis par le « Top Management » de l’entreprise

3. « Les risques » pouvant potentiellement impacter les assets

4. « Les contre-mesures » permettant de limiter les risques en rapport avec l’activité.

2. Les impacts sur le business liés aux risques d’attaques (suite)

2.2 Concept de la gestion de risques informatiques

Page 7: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 7

2. Les objectifs de sécurité

* Source Nicolas Mayer université de Namur Luxembourg

Page 8: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 8

3. Les impacts sur le business liés aux risques d’attaques

Page 9: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 9

4. Prise de conscience des enjeux, une approche « Top-Down »

Une prise de conscience est donc essentielle afin d’assurer la sécurisation de son Système d’Information. Cette sécurisation est, par effet rebond, une « assurance » de la bonne prise en compte de la nécessité de protéger les biens de l’entreprise.

Celle-ci doit s’opérer au plus haut niveau de l’entreprise « Top Management » afin de décider de la mise en place des politiques de sécurité adaptées au business (contexte, règlementation…) pour redescendre jusqu’aux services opérationnels (l’approche « Top-Down »).

Toute politique de sécurité qui ne prend pas en compte ce point restera inefficace.

Page 10: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 10

5. L’analyse d’impacts « Business Impact Analysis (BIA)

Les objectifs d’une étude du BIA sont multiples :

- Identifier toutes les fonctions critiques - Identifier toutes les ressources critiques- Calculer le MTD « Maximum Tolerable Downtime »- Identifier les menaces- Calculer les risques - Identifier les solutions permettant de sécuriser et de secourir ces

fonctions critiques.

A l’issue de cette étude de BIA initiale, la stratégie permettant de de répondre au exigences de sécurité du Système d’Information sera mise en œuvre.

Page 11: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 11

6. Quelques exemples de menaces informatiques pour l’entreprise

1. Usurpation d’identité (Obtention ou utilisation illicite de données d’authentification d’un utilisateur)

L’objectif est de trouver un mot de passe ou une clef. L’outil utilisé testera toutes les combinaisons possibles.

- Exemple de méthode : « Brute force attack / Dictionary Attack » - Outils utilisés : Brutus, Cain & Abel, ….

Le tableau ci-dessous indique le nombre de combinaisons nécessaires pour trouver un mot de passe

Source wikipedia

Page 12: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 12

6. Quelques exemples de menaces informatiques pour l’entreprise

(suite)Les menaces informatiques sont multiples. Nous ne citerons ici que quelques-unes d’entres elles :

1. Usurpation d’identité (Obtention ou utilisation illicite de données d’authentification d’un utilisateur)

- Exemple de méthode : « Man in the middle » (l’attaquant agit en tant que Proxy)

- Exemple de mécanismes utilisés : ARP Spoofing, DNS poisoning…

Source owasp.org

Page 13: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 13

6. Quelques exemples de menaces informatiques pour l’entreprise

(suite)2. L’usurpation d’un site Internet (bancaire par exemple)

L’objectif est d’attirer des utilisateurs vers un faux site Web dans le but de récupérer des informations sensibles.

- Exemple de méthode L’hameçonnage « Phishing » - Exemple d’outil utilisé : le Mail Malveillant, le faux site.

Source tomstone.fr

Page 14: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 14

6. Quelques exemples de menaces informatiques pour l’entreprise

(suite)3. Les virus et logiciels espions

Les virus :Programme malveillant caché dans un fichier et permet de générer des attaques pour infecter le système, détruire les données et potentiellement se propager.

Les vers :Programme autonome permettant la destruction de données ou le détournement d’informations sensibles ou confidentielles.

Les chevaux de Troie :Programme prenant l’apparence d’un processus normal, trompant ainsi les systèmes de sécurité pour pénétrer sur les systèmes.

Logiciels espions :Programmes permettant la récupération de données ou d’exécution de commandes sur un système (mots de passes, numéros de cartes bancaires, etc…)

Page 15: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 15

6. Quelques exemples de menaces informatiques pour l’entreprise

(suite)3. Autres types de menaces « APT et autres… » :

SQL injections : (attaques de bases de données) « Tempest » : (L’étude des signaux électriques ou

électromagnétiques) sur un système « Rootkit » : (Mise en œuvre d’un accès dissimulé sur un ordinateur

dans l’objectif d’espionner ou d’accéder aux données stockées sur un ordinateur)

Directory Traversal Attack : (technique de navigation http qui peut être exploitée pour accéder à des dossiers non autorisés par l’utilisation des liens symboliques)

Passive Attack : (Obtention d’informations par l’écoute passive sur le réseau « sniffer »)

Cross Site Scripting : (Exploitation des failles de sécurité d’un site Web permettant d’injecter du contenu dans une page. Les possibilités d’attaques sont multiples puisque liées au langage du navigateur).

DoS Attack : (Attaques de déni de service, dans le but d’écrouler un système)

Etc………

Page 16: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 16

7. Une approche structurée et adaptée de la sécurité informatique

La multitude d’attaques informatiques oblige les entreprises à structurer leur défense. Quelques exemples ci-dessous:

Mettre en place les politiques de sécurité Développer des Standards, Guidelines et Procédures Mettre en place des solutions de reprise, de secours et de continuité du

business Maintenir à jour les systèmes informatiques Sensibiliser et former les utilisateurs de l’entreprise Réaliser des audits et contrôles réguliers des processus Mettre en place des architectures simples et homogènes « bundle » afin

de rendre plus simple l’exploitation du SI Mettre en œuvre des outils permettant le contrôle, la supervision du SI

afin d’être proactif sur les événements Documenter tous les environnements techniques et fonctionnels Assurer une bonne communication entre les différents services concernés

par la sécurité des environnements SI. Etc….

Page 17: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 17

8. L’information et la formation des collaborateurs

En matière de sécurité informatique, il est essentiel que les collaborateurs de l’entreprise soient sensibilisés et formés. En effet, dans de nombreux cas, la méconnaissance des collaborateurs sur ces sujets est fréquemment utilisée par les personnes malveillantes pour contourner les mécanismes de sécurité mis en œuvre.

Les sujets à évoquer régulièrement avec les collaborateurs sont par exemple :

- La sécurité dans l’entreprise (règles et standards)- Gestion des mots de passe- Périphériques et risques (clefs USB, CD, DVD, autres…)- Informations à ne pas communiquer à un inconnu- Comportement à avoir avec la messagerie- Risques et comportement à adopter avec Internet- Les différents types d’attaques- La loi et la sécurité informatique- Les bases du réseau, etc…

Page 18: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 18

9. L’évolution des usages informatiques / Risques et enjeux

Depuis quelques mois, nous rencontrons une évolution dans l’utilisation des outils informatiques en entreprise. Par exemple, de nombreux utilisateurs souhaitent utiliser leurs outils personnels pour se connecter aux ressources de l’entreprise (BYOD) :

IPhone, IPad, BlackBerry, Androïde, etc… »

Cette solution représente un réel intérêt économique pour l’entreprise (sur les achats, les ressources et autres..). Cependant, sur le plan de l’organisation ou de la sécurité informatique, les environnements deviennent de plus en plus complexes à gérer pour assurer une bonne sécurité.

D’autres technologies ou solutions comme le « Cloud » ou les environnements virtualisés apportent également du fil à retordre aux spécialistes de la sécurité aujourd’hui et pour les années à venir.

Page 19: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 19

10. Questions - Réponses

QUESTIONS / REPONSES

Page 20: Sécurité informatique  ( R isques, Approches et Bonnes pratiques)

Salon MED-IT Casablanca (Novembre 2012) 20

10. Questions - Réponses

MERCI !Xavier MOLTENI

BASOM ConsultingE-mail: [email protected]