SlideShare una empresa de Scribd logo

Systemes vulnerables

Christophe Casalegno
Christophe Casalegno

Sécurité de l'information : les systèmes vulnérables. Pourquoi tous les systèmes d'information sont vulnérables ?

Tecnología
1 de 19
Descargar para leer sin conexión
Les systèmes vulnérables Christophe Casalegno Groupe Digital Network
Systèmes vulnérables « Tous les systèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au mieux un ignorant, et au pire un escroc » Christophe Casalegno
Systèmes vulnérables POURQUOI ?
Systèmes vulnérables Il est facile de comprendre pourquoi : - Les composants sont imaginés par des humains - Les ordinateurs sont imaginés par des humains - Les systèmes d'exploitation sont imaginés par des humains - Les protocoles sont imaginés par des humains - Les machines qui les fabriques sont imaginées par des humains... Les humains sont imparfaits La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
Systèmes vulnérables LA CHAÎNE DE VULNERABILITES
Systèmes vulnérables LE PREMIER MAILLON La conception
Systèmes vulnérables LE SECOND MAILLON La fabrication
Systèmes vulnérables LE TROISIEME MAILLON L'installation
Systèmes vulnérables L'installation d'un système reste aujourd'hui encore l'une des clef de voûte de sa sécurité. Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc. Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement. Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
Systèmes vulnérables LE QUATRIEME MAILLON La configuration
Systèmes vulnérables C'est à cette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc. Plus de 90 % des erreurs sont commises à cette étape. La configuration d'un système d'information ne doit jamais être faite au hasard. Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
Systèmes vulnérables Les erreurs pouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de : - l'absence / le non respect de la classification de l'information - l'absence / le non respect de la politique de sécurité - l'absence / le non respect des procédures d'installation - l'absence / le non respect de la composante sécurité des procédures - le manque de documentation concernant les applications à déployer - le manque de formation adaptée intégrant la composante sécurité
Systèmes vulnérables LE CINQUIEME MAILLON L'exploitation
Systèmes vulnérables Avoir un système d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile. La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur. De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité. Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
Systèmes vulnérables Chaque instant qui passe influence la sécurité du système d'information. Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo. Le cracker, le pirate qui souhaite pénétrer un système a tout son temps. Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
Systèmes vulnérables Il ne faut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable. La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions : - rares - difficiles - rapidement détectées - compartimentées
Systèmes vulnérables LES MECANISMES DE SECURITE Les règles de la sécurité physique ne s'appliquent pas aux systèmes d'information
Systèmes vulnérables Quand on s'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié : 1) Le disque dur est dans un coffre 2) Le coffre est dans une chambre forte 3) La chambre forte est dans un bâtiment sécurisé 4) Le bâtiment est entouré d'une enceinte sécurisée Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
Systèmes vulnérables Dans un système d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple : - Sécurité par l'hôte - Sécurité par le réseau - Identification / authentifications multiples - Contrôle de l'intégrité des données - Haute disponibilité - Non répudiation des données Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.

Recomendados

Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
PRONETIS
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
PRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
 

Recomendados

Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
PRONETIS
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
PRONETIS
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
PRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
 
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
polenumerique33
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
sidomanel
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
polenumerique33
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Cyber Security Alliance
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
 
Bq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundationsBq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundations
CERTyou Formation
 
Secur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseauxSecur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseaux
CERTyou Formation
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
 
Detection des-incidents-de-securite-1036-k8qjjj
Detection des-incidents-de-securite-1036-k8qjjjDetection des-incidents-de-securite-1036-k8qjjj
Detection des-incidents-de-securite-1036-k8qjjj
TchadowNet
 
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
CERTyou Formation
 
Architecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft WindowsArchitecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft Windows
Christian Toinard
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
 
Ssi
SsiSsi
Ssi
Hanae Guenouni
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
NRC
 
Social Media für Unternehmen (Stand: Mai 2012)
Social Media für Unternehmen (Stand: Mai 2012)Social Media für Unternehmen (Stand: Mai 2012)
Social Media für Unternehmen (Stand: Mai 2012)
Christian Möller
 
el chavo
el chavo el chavo
el chavo
yeferson201
 
Situaciones de aprendizaje en ambientes virtuales
Situaciones de aprendizaje en ambientes virtualesSituaciones de aprendizaje en ambientes virtuales
Situaciones de aprendizaje en ambientes virtuales
rafael_mtz_mtz
 
Sistemasoperativos
SistemasoperativosSistemasoperativos
Sistemasoperativos
gciayasminsalirrosascarbajal
 
Telecommande bft-brcb-tx2
Telecommande bft-brcb-tx2Telecommande bft-brcb-tx2
Telecommande bft-brcb-tx2
SPAREKA
 
Tilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani LehtoTilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani Lehto
TilTu-seminaari
 
Denys Frank Hackert
Denys Frank HackertDenys Frank Hackert
Denys Frank Hackert
tyl61yy4ca
 

Más contenido relacionado

La actualidad más candente

ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Cyber Security Alliance
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
 
Bq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundationsBq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundations
CERTyou Formation
 
Secur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseauxSecur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseaux
CERTyou Formation
 
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
CERTyou Formation
 
Architecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft WindowsArchitecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft Windows
Christian Toinard
 

La actualidad más candente (15)

Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
Sécurité mobile - Passeport de conseils aux voyageurs - ANSSI - 2014
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Bq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundationsBq101 g formation-ibm-security-qradar-siem-foundations
Bq101 g formation-ibm-security-qradar-siem-foundations
 
Secur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseauxSecur formation-securite-systemes-et-reseaux
Secur formation-securite-systemes-et-reseaux
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
Detection des-incidents-de-securite-1036-k8qjjj
Detection des-incidents-de-securite-1036-k8qjjjDetection des-incidents-de-securite-1036-k8qjjj
Detection des-incidents-de-securite-1036-k8qjjj
 
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
An22 g formation-aix-network-installation-manager-nim-gestion-de-l-installati...
 
Architecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft WindowsArchitecture de sécurité en environnement Microsoft Windows
Architecture de sécurité en environnement Microsoft Windows
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Ssi
SsiSsi
Ssi
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
 

Destacado

Tilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani LehtoTilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani Lehto
TilTu-seminaari
 
7 sins facebook
7 sins facebook7 sins facebook
7 sins facebook
thjnkloved
 
Fitoterapicos farmacotecnica
Fitoterapicos farmacotecnicaFitoterapicos farmacotecnica
Fitoterapicos farmacotecnica
Mariana Ramos
 

Destacado (20)

Social Media für Unternehmen (Stand: Mai 2012)
Social Media für Unternehmen (Stand: Mai 2012)Social Media für Unternehmen (Stand: Mai 2012)
Social Media für Unternehmen (Stand: Mai 2012)
 
el chavo
el chavo el chavo
el chavo
 
Situaciones de aprendizaje en ambientes virtuales
Situaciones de aprendizaje en ambientes virtualesSituaciones de aprendizaje en ambientes virtuales
Situaciones de aprendizaje en ambientes virtuales
 
Sistemasoperativos
SistemasoperativosSistemasoperativos
Sistemasoperativos
 
Telecommande bft-brcb-tx2
Telecommande bft-brcb-tx2Telecommande bft-brcb-tx2
Telecommande bft-brcb-tx2
 
Tilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani LehtoTilaaja tuottaja-seminaari Juhani Lehto
Tilaaja tuottaja-seminaari Juhani Lehto
 
Denys Frank Hackert
Denys Frank HackertDenys Frank Hackert
Denys Frank Hackert
 
Morethanhoney
MorethanhoneyMorethanhoney
Morethanhoney
 
APRENDER A APRENDER
APRENDER A APRENDER APRENDER A APRENDER
APRENDER A APRENDER
 
La innovación en la constitución
La innovación en la constituciónLa innovación en la constitución
La innovación en la constitución
 
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
 
7 sins facebook
7 sins facebook7 sins facebook
7 sins facebook
 
مخطوطة كاملة
مخطوطة كاملةمخطوطة كاملة
مخطوطة كاملة
 
Fitoterapicos farmacotecnica
Fitoterapicos farmacotecnicaFitoterapicos farmacotecnica
Fitoterapicos farmacotecnica
 
Vom Return on Invest zum Return on Expectations
Vom Return on Invest zum Return on ExpectationsVom Return on Invest zum Return on Expectations
Vom Return on Invest zum Return on Expectations
 
Deporte en mexico
Deporte en mexicoDeporte en mexico
Deporte en mexico
 
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
Präsentation Seniorenhaus und Sozialstation St. Anna, September 13
 
Tc burger
Tc burgerTc burger
Tc burger
 
Maroc_2
Maroc_2Maroc_2
Maroc_2
 
Gallinitas
GallinitasGallinitas
Gallinitas
 

Similar a Systemes vulnerables

Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
Roland Kouakou
 

Similar a Systemes vulnerables (20)

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdfcours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 

Systemes vulnerables

  • 1. Les systèmes vulnérables Christophe Casalegno Groupe Digital Network
  • 2. Systèmes vulnérables « Tous les systèmes d'information au monde sont vulnérables, celui qui prétend le contraire est au mieux un ignorant, et au pire un escroc » Christophe Casalegno
  • 4. Systèmes vulnérables Il est facile de comprendre pourquoi : - Les composants sont imaginés par des humains - Les ordinateurs sont imaginés par des humains - Les systèmes d'exploitation sont imaginés par des humains - Les protocoles sont imaginés par des humains - Les machines qui les fabriques sont imaginées par des humains... Les humains sont imparfaits La chaîne de production contient elle même son lot de défauts : l'enchaînement en cascade d'imperfections crée un nombre important d'artefacts qui rendent impossible d'envisager une sécurité parfaite.
  • 6. Systèmes vulnérables LE PREMIER MAILLON La conception
  • 7. Systèmes vulnérables LE SECOND MAILLON La fabrication
  • 8. Systèmes vulnérables LE TROISIEME MAILLON L'installation
  • 9. Systèmes vulnérables L'installation d'un système reste aujourd'hui encore l'une des clef de voûte de sa sécurité. Il existe certains choix de départ sur lesquels il sera difficile de revenir : type de système de fichiers, partitionnement, système 32 ou 64 bits, etc. Chacun de ces paramètres peut avoir des conséquences, à des degrés variables sur le niveau de sécurité du système et de son environnement. Ces paramètres varient en fonction de la manière dont sera utilisé le système, les conséquences d'un même choix peuvent donc être aussi bien positives que négatives.
  • 10. Systèmes vulnérables LE QUATRIEME MAILLON La configuration
  • 11. Systèmes vulnérables C'est à cette étape que sont commises la plupart des erreurs : mots de passe par défaut, configuration trop permissive ou inadaptée, comptes « test », restrictions par ip, mode de debbugage, etc. Plus de 90 % des erreurs sont commises à cette étape. La configuration d'un système d'information ne doit jamais être faite au hasard. Elle doit suivre un cheminement logique et une procédure précise et définie en adéquation avec la classification de l'information et la politique de sécurité qui s'y rapporte.
  • 12. Systèmes vulnérables Les erreurs pouvant avoir de graves conséquences sur la sécurité qui surviennent à cette étape proviennent généralement de : - l'absence / le non respect de la classification de l'information - l'absence / le non respect de la politique de sécurité - l'absence / le non respect des procédures d'installation - l'absence / le non respect de la composante sécurité des procédures - le manque de documentation concernant les applications à déployer - le manque de formation adaptée intégrant la composante sécurité
  • 13. Systèmes vulnérables LE CINQUIEME MAILLON L'exploitation
  • 14. Systèmes vulnérables Avoir un système d'information sécurisé c'est bien... conserver cette sécurité c'est mieux... et beaucoup plus difficile. La sécurité d'un système d'information n'est pas figée : au contraire elle évolue dans le temps chaque jour, chaque minute, chaque seconde, chaque cycle de l'horloge d'un processeur. De nouvelles vulnérabilités sont découvertes chaque jour, et de nouvelles techniques d'intrusion sont régulièrement développées par les pirates afin de déjouer les nouveaux systèmes de sécurité. Les conditions d'exploitation du système d'information sont également amenées à se modifier lors de l'évolution de l'entreprise, le changement de finalité, l'arrivée de nouveaux utilisateurs ou encore l'intégration de nouvelles fonctionnalités.
  • 15. Systèmes vulnérables Chaque instant qui passe influence la sécurité du système d'information. Lorsque l'on audite un système d'information, on fait en quelque sorte une « photographie » de sa sécurité, à un instant précis, mais quelques instants plus tard, la réalité sera bien différente de la photo. Le cracker, le pirate qui souhaite pénétrer un système a tout son temps. Il sait attendre l'apparition des conditions favorables à son attaque et seule une veille quotidienne et permanente permet de conserver un niveau de sécurité conforme aux exigences.
  • 16. Systèmes vulnérables Il ne faut jamais oublier que malgré tous les systèmes de sécurité, les procédures, la veille technologique et les moyens déployés à la surveillance du système d'information, votre système d'information reste vulnérable. La sécurité parfaite n'est ni plus ni moins que de rentre les intrusions : - rares - difficiles - rapidement détectées - compartimentées
  • 17. Systèmes vulnérables LES MECANISMES DE SECURITE Les règles de la sécurité physique ne s'appliquent pas aux systèmes d'information
  • 18. Systèmes vulnérables Quand on s'occupe de sécurité physique, on applique souvent le modèle par couches. Exemple simplifié : 1) Le disque dur est dans un coffre 2) Le coffre est dans une chambre forte 3) La chambre forte est dans un bâtiment sécurisé 4) Le bâtiment est entouré d'une enceinte sécurisée Chaque « couche » vient augmenter le niveau de sécurité et la difficulté pour un intrus d'accéder au disque dur mentionné.
  • 19. Systèmes vulnérables Dans un système d'information il est possible d'appliquer également de la sécurité à de multiples niveaux comme par exemple : - Sécurité par l'hôte - Sécurité par le réseau - Identification / authentifications multiples - Contrôle de l'intégrité des données - Haute disponibilité - Non répudiation des données Chacune de ses étapes, chaque nouvelle solution de sécurité, chaque programme supplémentaire est également une nouvelle porte d'entrée potentielle dans votre système d'information.