Security Day "Définitions, Risques et Droits" par Fouad Guenane
1. 1
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Security Day
Webdays Algiers
Définitions/ Risques / Droits
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité
Consultant Sécurité, Expert Cloud Access
7 juin 2013
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
2. 2
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Plan
1 Introduction
2 Études des risques
3 Droits en vigueur
4 Cloud Computing
5 Protections et sécurité
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
3. 3
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Engineer in computer science specialized networks and
security in USTHB (2009)
Algeria Telecom Security Engineer - Djaweb Service :
Department operating platforms national and international
(www.djaweb.dz)(2009/2010)
Master degree in Telecommunications and networking at
UPMC (University Pierre et Marie Curie) in partnership with
Telecom Paris Tech and ITIN ENST (2010/2011)
PhD student in Laboratoire d’Informatique de Paris 6
(www.lip6.fr), with specialization in a virtual environment,
Security of Cloud and virtual network.(2011 / nowdays)
Security Consultant SecFuNet FP7 project
Telecom Consultant NU@GE Project
co-author / Security consultant Gintao Project
co-author / Security consultant SMVR Project
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
4. 4
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Les risques sont nombreux en sécurité informatique et
évoluent d’année en année
C’est une activité de tous les instants, qui repose sur le bon
sens
Il suffit d’appliquer de simples pratiques d’excellence pour
améliorer de façon considérable votre protection ?
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
5. 4
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Les risques sont nombreux en sécurité informatique et
évoluent d’année en année
C’est une activité de tous les instants, qui repose sur le bon
sens
Il suffit d’appliquer de simples pratiques d’excellence pour
améliorer de façon considérable votre protection ?
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
6. 4
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Les risques sont nombreux en sécurité informatique et
évoluent d’année en année
C’est une activité de tous les instants, qui repose sur le bon
sens
Il suffit d’appliquer de simples pratiques d’excellence pour
améliorer de façon considérable votre protection ?
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
7. 5
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
La sécurité informatique est l’ensemble des moyens mis en œuvre
pour réduire la vulnérabilité d’un système. Les exigences
principales d’un système sont :
Disponibilité (serveur local, internet) : disponible pour les
personnes autorisées
Confidentialité : l’accès à l’information n’est possible que pour
les personnes autorisées
Intégrité : modification autorisée de l’information
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
8. 6
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Parcours
Contexte
Définitions
Une menace est une violation potentielle de la sécurité, plusieurs
types existent :
Accidentelle
Intentionnelle (et là je l’appelle attaque)
Active (directement nuisible)
Passive (espionnage ou surveillance)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
9. 7
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Rien ne sert de mettre en place une solution pour une menace
donnée qui coûte plus cher que ce que coûteraient les retombées
de l’attaque elle même.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
10. 8
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Notre travail en tant qu’ingénieur sécurité consiste à proposer :
1 Une Analyse cohérente qui identifie les risques potentiels mais
aussi les solutions avec le coût associé (oui le budget)
2 Des solutions et produits existants et éprouvés (ne pas
réinventer la roue ou proposer une innovation)
3 Organiser les solutions sous forme de politique de sécurité
avec des niveaux de tolérance
4 En conclusion on obtient ce que l’on doit protéger par priorité
(Encore que le jeu en vaille la chandelle)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
11. 9
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Les bonnes questions que l’on doit se poser :
Quels sont le coût et le délai de remplacement d’un
équipement
Quelle valeur possède l’information à protéger
Quel impact sur la clientèle si une information concernant une
attaque dont on aurait fait l’objet (La réputation a un prix)
Faire des tests avec des outils d’analyse réseau (Audit de
sécurité externe)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
12. 10
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
En fin de compte je dois mettre en place un SMSI (Système de
Management de la sécurité de l’information et continuité d’activité)
Pour cela je dois m’aider d’outils et de méthodes d’analyses, en
prenant soin de m’approcher le plus possible de la norme
ISO-27000
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
13. 11
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Il existe des méthodes d’analyses de risques éditées pour la sécurité
informatique :
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
14. 12
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Méthode EBIOS (Expression des Besoins et Identification des
Objectifs de Sécurité) :
Mise en place par la DCSSI (Direction Centrale de la Sécurité des
Systèmes d’informations)
se compose principalement de 5 guides : Introduction,
Démarches, Techniques, Outillages, logiciels)
elle se compose en 5 grandes étapes :
1 étude du contexte
2 expression des besoins de sécurité
3 étude des menaces
4 identification des objectifs de sécurité
5 détermination des exigences de sécurité
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
15. 13
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Mehari (MEthode Harmonisée d’Analyse de RIsques) est
développée par le CLUSIF depuis 1995
Elle est développée par le CLUSIF ( Club de la Sécurité de
l’Information Français) depuis 1995 et en constante mise à jour
Elle est dérivée des méthodes Melisa et Marion.
Le logiciel RISICARE développé par la société BUC SA est un
outil de gestion des risques basé sur la méthode Mehari.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
16. 14
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Mehari s’articule autour de 3 types de livrables :
1 Le Plan Stratégique de Sécurité (PSS) fixe les objectifs de
sécurité ainsi que les métriques permettant de les mesurer
2 Les Plans Opérationnels de Sécurité définissent pour chaque
site les mesures de sécurité qui doivent être mises en œuvre.
3 Le Plan Opérationnel d’Entreprise assure le suivi de la sécurité
par l’élaboration d’indicateurs sur les risques identifiés et le
choix des scénarios de catastrophe contre lesquels il faut se
prémunir.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
17. 15
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Introduction et rôle de l’ingénieur
Méthode d’analyse
Choisir sa méthode
Comment choisir une méthode parmi le panel existant ?
l’origine géographique de la méthode
la langue de la méthode
la qualité de la documentation
le coût de la mise en œuvre
la quantité de moyens humains qu’elle implique et la durée de
mobilisation
la taille de l’entreprise
sa popularité, l’existence d’un club d’utilisateurs afin d’avoir
un retour d’expériences
...etc.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
18. 16
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Loi
pause
Loi 09-04 du 14 Chaabane 1430 correspondant au 5 août 2009
portant règles particulières relatives à la prévention et à la lutte
contre les infractions liées aux technologies de l’information et de
la communication :
Définit la terminologie (beaucoup de manque)
Champs d’application
Cas autorisant le recours à la surveillance électronique
Perquisition des systèmes informatiques
Obligation des fournisseurs de services à porter assistance aux
autorités (l’inverse ? ?)
elle définit les « infractions liées aux technologies de
l’information et de la communication »
Organe national de prévention et de lutte contre les
infractions lièes aux TICs (Where is it ?)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
19. 17
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Loi
pause
Je vous invite à faire une pause de 10 minutes
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
20. 18
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
La virtualisation : ensemble des techniques matérielles et/ou
logicielles qui permettent de faire fonctionner sur une seule
machine plusieurs systèmes d’exploitations et/ou plusieurs
applications, séparément les uns des autres, comme s’ils
fonctionnaient sur des machines physiques distinctes
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
21. 19
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
There are four (4) basic categories of virtualization :
1 Storage virtualization : which pools physical storage from
multiple network storage devices so that they appear to be a
single storage device
2 Network virtualization : which provides a way to run different,
separated networks within the same physical infrastructure
3 Software virtualization : which allow better compatibility for
applications
4 Server virtualization :The server administrator uses a software
application to divide one physical server into multiple isolated
virtual environments.
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
22. 20
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
Resource sharing
Heterogeneity
Scalability and self management
Payment model ( pay-per-use model)
Security ? ? ?
Usability (easy use)
...
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
23. 21
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
Cisco définit le Cloud : "Ressources informatiques et services qui
sont abstraites de l’infrastructure sous-jacente et proposer "à la
demande" et "à l’échelle" dans un environnement locataires
multiples"
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
24. 22
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
On demand : resources can be provisioned immediately when
needed, released (libérer) when no longer required, and billed
(facturer) only when used
At scale : the service provides the illusion of infinite resource
availability in order to meet whatever demands are made of it
Multitenant environment : the resources are provided to many
consumers from a single implementation, saving (économiser)
the provider significant cost
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
25. 23
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le chemin du Cloud...
Type de virtualisation
Les avantages
Cloud Computing Born
Avantages du Cloud
les avantages du cloud sont la simple dérivée de ceux de la
virtualisation
Réduction des coûts d’exploitations
Focalisation sur le corps métier
La Flexibilité de la technologie (provisionning/déploiement)
Économie d’énergie et développement durable
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
26. 24
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
L’importance accordée aux systèmes d’informations par les
entreprises en fait la cible d’attaque ; le risque est encore plus accru
avec l’ouverture de l’entreprise vers internet.
Négliger la sécurité de ces systèmes peut conduire l’entreprise à la
faillite ; la sécurité prend alors deux formes :
Sécurité interne de l’entreprise (Fuites d’informations, Erreur
humaine, Vols...)
Sécurité externe de l’entreprise (Piratage, Services
indisponibles, DDos...)
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
27. 25
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
les principaux défauts de sécurité constatés :
> Installations des matériels et logiciels par défaut
> Mises à jour non effectuées
> Mots de passe inexistants
> Session non sécurisée
> Services inutiles conservés
> pas de séparations de flux (flux opérationnels/ flux
d’administrations)
> aucune procédure de sécurité ou de SMSI
> outils de tests laissés dans les configurations de productions
> Authentification faible
> ...
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
28. 26
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
les principaux défauts de sécurité constatés :
> La formation des utilisateurs (point très important)
> La sécurité du poste de travail indépendamment des serveurs
> Antivirus / pare-feu (matériels et logiciels)
> Authentification couplée au Cryptage
> Protocoles sécurisés (SSL/SSH/EAP-TLS...STOP TELNET)
> Sécurisation de la messagerie
> Surveiller son trafic
> Tests et Audits
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
29. 27
Introduction
Études des risques
Droits en vigueur
Cloud Computing
Protections et sécurité
Le terrain de bataille
Principaux défauts de sécurité
Principaux conseils à suivre
Conclusion
Protégez-vous c’est important !
Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers