-
Un article sur les concepts lmentaires en scurit
del'information
Daniel Miesslerdaniel(at)dmiessler.com
Publi par :Philippe Latu
philippe.latu(at)inetdoc.net
http://www.inetdoc.net
RsumCet article est une traduction libre d'une page publie sur
le blog de Daniel Miessler. Il prsente les concepts de baseen
scurit de l'information de faon succincte et image. C'est une
excellente introduction au vocabulaire usuel de cedomaine sensible
des technologies de l'information.
Table des matires1. Meta-information
......................................................................................................................................
12. Un article sur les concepts lmentaires en Scurit de
l'Information
.................................................................
1
2.1. Les 4 principes de base en scurit selon Eric Cole
...............................................................................
12.2. La triade CIA (aka. CIA Triad)
...........................................................................................................
32.3. La terminologie
..............................................................................................................................
32.4. Rexions personnelles
...................................................................................................................
42.5. Conclusion
....................................................................................................................................
5
3. Termes techniques et documents de rfrence
...............................................................................................
5
1.Meta-information
Copyright et LicenceCopyright (c) 2007 Daniel Miessler
Permission is granted to copy, distribute and/or modify this
document under the terms of the GNU Free Documentation License,
Version 1.2 or any later version published by the Free Software
Foundation; with no Invariant Sections, no Front-Cover Texts, and
no Back-Cover Texts. A copy of the license is included in the
section entitled "GNU Free Documentation License".
Copyright (c) 2007 Daniel Miessler Permission est accorde de
copier, distribuer et/ou modifier ce document selon les termes de
la Licence de Documentation Libre GNU (GNU Free Documentation
License), version 1.1 ou toute version ultrieure publie par la Free
Software Foundation ; sans Sections Invariables ; sans Texte de
Premire de Couverture, et sans Texte de Quatrime de Couverture. Une
copie de la prsente Licence est incluse dans la section intitule
Licence de Documentation Libre GNU .
Outils de publication
Cet article est crit avec DocBook2 XML sur un systme Debian
GNU/Linux3. Il est disponible en version imprimable au formatPDF :
infosecconcepts.pdf4.
2.Un article sur les concepts lmentaires en Scurit de
l'Information
Le domaine de la scurit de l'information est si vaste qu'il est
facile de s'enfermer dans un secteur spcique et de perdreainsi la
perspective gnrale. Ce domaine couvre tout ; de la hauteur de la
clture autour de l'entreprise jusqu'aux mthodeset outils pour
durcir un systme Windows 2003 server.Il est important de se
rappeler qu'il ne faut pas se laisser absorber par les dtails.
Chaque document sur les bonnes pratiquesest li directement un
concept de scurit de plus haut niveau philosophique. Ce sont ces
concepts que j'ai l'intention deprsenter ici.
2.1.Les 4 principes de base en scurit selon Eric Cole
Pour commencer, je voudrais couvrir les quatre principes de base
en scurit d'Eric Cole. Ces quatre concepts devraientconstamment tre
l'esprit de tous les professionnels de la scurit de
l'information.
2 http://www.docbook.org3 http://www.debian.org4
http://www.inetdoc.net/pdf/infosecconcepts.pdf
Un article sur les concepts lmentaires en scurit de
l'information 1
-
Un article sur les concepts lmentaires en scurit de
l'information
Connaissez Votre SystmeLa connaissance de son systme est
probablement la chose la plus importante lorsque l'on essaie de le
dfendre. Peuimporte qu'il s'agisse d'un chteau ou d'un serveur
Linux ; si vous ne connaissez pas rellement les entres et les
sortiesde ce que vous dfendez, vous avez peu de chances de
succs.
La connaissance exacte des logiciels excuts sur vos systmes est
un bon exemple dans le monde de la scurit del'information. Quels
sont les dmons actifs ? Quel genre d'exposition engendrent-ils ? Un
bon auto-test pour quelqu'untravaillant dans un environnement de
taille moyenne serait de choisir alatoirement une adresse IP dans
la liste dessystmes et de voir si il connat la liste exacte des
ports qui sont ouverts sur les machines.
Un bon administrateur systme devrait tre capable de dire, par
exemple, c'est un serveur Web, donc il fonctionneseulement avec les
ports 80, 443 et 22 pour l'administration distance ; voil. ; et
ainsi de suite pour chaque type deserveur dans l'environnement. Il
ne devrait pas y avoir de surprises en examinant les rsultats des
scans de ports.
Ce que l'on ne veut pas entendre dans ce genre de test c'est :
Waouh, qu'est-ce que c'est que ce port ?. Avoir se poserla question
est un signe que l'administrateur n'est pas entirement au courant
de tout ce qui fonctionne sur la machineen question et c'est
prcisment la situation que l'on doit viter.
Moindre privilgeLe concept suivant super important est celui du
moindre privilge. Il indique simplement que les utilisateurs et
leslments du systme d'information devraient pouvoir accder
seulement ce dont ils ont besoin pour effectuer leurstches, et rien
d'autre. La raison pour laquelle j'inclus les lments c'est que les
administrateurs congurent souventdes tches automatises qui ont
besoin de pouvoir faire certaines choses : des sauvegardes par
exemple. Et bien, cequi se produit souvent c'est que les
administrateurs se contentent de placer l'utilisateur qui effectue
les oprations desauvegarde dans le groupe d'administration du
domaine ; mme si ils pourraient faire fonctionner le service d'une
autremanire. Pourquoi ? Parce que c'est plus facile.
Finalement c'est un principe conu pour entrer directement en
conit avec la nature humaine, c'est--dire la paresse. Ilest
toujours plus difcile de donner un accs granulaire qui permet
seulement d'effectuer des tches spciques que dedonner accs un
chelon plus lev qui inclut les besoins satisfaire.
Cette rgle du moindre privilge nous rappelle simplement de ne
pas cder la tentation et d'agir de cette faon. Il nefaut jamais
cder et prendre le temps de rendre tout accs granulaire, au niveau
le plus bas possible.
Dfense en profondeurLa dfense en profondeur est peut-tre le
concept le moins bien compris des quatre. Beaucoup pensent qu'il
s'agitd'empiler trois pare-feux au lieu d'un, ou d'employer deux
programmes d'antivirus plutt qu'un. Techniquement c'estralisable,
mais a ne correspond pas la vraie nature de la dfense en
profondeur.
La vritable ide est d'empiler des couches de protection
multiples entre un attaquant et des biens. Et ces couches n'ontpas
besoin d'tre des produits ; elles peuvent tre l'application
d'autres concepts, tel que le moindre privilge.
Prenons l'exemple d'un attaquant sur l'Internet qui essaie de
compromettre un serveur web dans la DMZ. Ce pourrait
trerelativement facile en prsence d'une vulnrabilit importante dans
le systme. Mais, avec une infrastructure construiteen utilisant la
dfense en profondeur, a peut tre beaucoup plus difcile.
Qu'il s'agisse du durcissement des routeurs et des pare-feux, de
l'introduction d'IPS/IDS, du durcissement du serveurcible, de la
prsence d'un IPS hte sur le serveur, de l'antivirus sur le serveur,
etc. ; une seule de ces tapes peut sufre empcher le succs complet
d'une attaque.
L'ide, c'est que nous devrions penser l'envers ; plutt que de
penser ce qui doit tre mis en place pour arrter uneattaque, il faut
justement penser tout ce qui doit se passer pour qu'elle soit
russie. Il faut donc envisager qu'une attaquedoive passer par le
routeur externe, le pare-feu, le commutateur, accder au serveur,
excuter ceci, tablir une connexionsortante vers un hte extrieur,
tlcharger du contenu, excuter cela, etc., etc.
Et si l'une de ces tapes chouait ? C'est la clef la dfense en
profondeur ; placer des barrires sur autant de pointsque possible.
Verrouiller les listes de contrle d'accs (ACLs) du rseau.
Verrouiller les accs aux chiers. Utiliser laprvention d'intrusion
rseau, utiliser la dtection d'intrusion, rendre l'excution de code
hostile plus difcile sur lessystmes, s'assurer que les dmons sont
excuts avec les moindres privilges utilisateur, etc., etc.
Le bnce de cette dmarche est simple comprendre : vous avez plus
de chances d'empcher qu'une attaque soitcouronne de succs. Il est
possible que quelqu'un parvienne passer, accder la machine en
question, et soit arrtpar le fait que le code malveillant en
question ne soit pas excutable sur le serveur. Et mme si ce code
malveillant a estcorrig de sorte qu'il fonctionne, il sera alors
bloqu par un IPS mis jour ou un contrle d'accs (ACL) plus
restrictif surun pare-feu. L'ide est de verrouiller tout ce que
l'on peut chaque niveau. Pas simplement un lment, l'ensemble :
lespermissions sur les systmes de chiers, les protections d'accs
sur les piles mmoire des systmes, les ACLs, l'IPS hte,la limitation
des accs d'administration, l'excution avec des droits limits. La
liste continue indniment.
Le concept fondamental est simple : ne pas compter sur des
solutions uniques pour dfendre les biens protger. Traiterchaque
lment de dfense comme si c'tait la seule couche disponible. Lorsque
l'on adopte cette approche on est plus mme de bloquer les attaques
avant qu'elles n'atteignent leur but.
La prvention est idale, mais la dtection est une obligationLe
concept nal est plutt simple noncer mais extrmement important.
L'ide est que mme s'il vaut mieux qu'uneattaque soit stoppe avant
qu'elle ait atteint son but, il est absolument crucial de savoir au
moins ce qui s'est produit. titre d'exemple, ont peut avoir des
protections en place qui essaient d'empcher l'excution de code
malveillant surle systme, mais si un code de ce type est excut et
que quelque chose est fait, il est indispensable d'tre alert et
depouvoir ragir rapidement.
Un article sur les concepts lmentaires en scurit de
l'information 2
-
Un article sur les concepts lmentaires en scurit de
l'information
La diffrence entre apprendre qu'une attaque est russie dans un
dlai de 5 ou 10 minutes et le dcouvrir des semainesest plus tard
est astronomique. Souvent, avoir connaissance assez tt d'une
attaque peut entraner son chec. Mmesi des attaquants obtiennent un
accs sur la machine et ajoutent un compte utilisateur, il doit tre
possible de placerrapidement cette machine hors-ligne avant qu'ils
ne puissent faire n'importe quoi avec.
Quel que soit le contexte, la dtection est un devoir absolu
parce que les dmarches prventives n'ont aucune garantiede succs
100%.
2.2.La triade CIA (aka. CIA Triad)
La triade de CIA est un acronyme trs important dans le domaine
de la scurit de l'information. Il correspond :condentialit
(Condentiality), intgrit (Integrity) et disponibilit
(Availability). Ce sont les trois lments que toutprofessionnel
essaie de protger. Examinons les brivement.
Condentialit, CondentialityLa protection de la condentialit
consiste prserver des informations secrtes. Ces informations
peuvent aller de laproprit intellectuelle d'une socit la collection
photo personnelle d'un utilisateur. Tout ce qui attaque la capacit
dechacun prserver ce qu'il veut garder secret est une attaque
contre la condentialit.
Intgrit, IntegrityL'intgrit consiste s'assurer que les
informations n'ont pas t modies relativement leur forme
authentique. Lesattaques contre l'intgrit sont celles qui essaient
de modier une information en vue d'une utilisation ultrieure.
Desmodications de prix dans une base de donnes commerciale ou la
modication du niveau de paie de quelqu'un sur unefeuille de calcul
de tableur sont des exemples de ce type d'attaque.
Disponibilit, AvailabilityLa disponibilit est un lment tout fait
critique du puzzle CIA. Comme on peut s'y attendre, les attaques
contre ladisponibilit sont celles qui font que la victime ne peut
plus accder une ressource particulire. L'exemple le plusclbre de ce
type d'attaque est le dni de service (Denial of Service ou DoS). Le
principe, c'est qu'avec ce type d'attaquerien n'est vol ni modi.
L'attaquant vous empche d'accder tous les services viss. Les
ressources attaques peuventtre un serveur isol ou bien mme un rseau
entier dans le cas des attaques bases sur la bande passante
(DistributedDenial of Service ou DDoS).
Il est assez pratique de classer selon les termes de la triade
CIA les attaques contre la scurit de l'information et les
dfensescorrespondantes. Considrons quelques techniques communes
employes par les attaquants : la capture de trac (snifng),le
reformatage de disques durs et les modications sur un systme de
chiers.
La capture de trac est une attaque sur la condentialit parce
qu'elle permet d'analyser des informations qui ne sont pascenses
tre visibles. Un attaquant qui reformate le disque dur d'une
victime a attaqu la disponibilit de son systme. Enn,quelqu'un qui a
dit et modi le systme de chiers a compromis l'intgrit de ce systme.
Penser en ces termes peut nousaider progresser et comprendre les
diverses techniques offensives et dfensives.
2.3.La terminologie
Maintenant je voudrais revoir quelques termes techniques
extrmement importants. Les explications peuvent devenir unpeu
acadmiques mais je vais faire de mon mieux pour aller
l'essentiel.
Vulnrabilit, VulnerabilityUne vulnrabilit est une faiblesse dans
un systme. C'est assez simple comprendre parce que l'on
emploiegnralement ce terme exact dans les avis (advisories) et mme
dans les mdias. Comme exemple, on trouve l'avis LSASSCVE-2004-0894
qui permet un attaquant de prendre le contrle des systmes distance.
Quand on applique un correctif(patch) un systme, on le fait pour
supprimer une vulnrabilit.
Menace, ThreatUne menace est un vnement, naturel ou articiel,
qui peut endommager un systme. Les types de menacescomprennent les
gens qui essaient de pntrer dans un rseau pour voler des
informations, les feux, les tornades,les inondations, l'ingnierie
sociale, les salaris malveillants, etc. Tout ce qui peut endommager
les systmes estessentiellement une menace pour ces systmes.
Souvenons nous aussi qu'une menace est habituellement valuecomme
une probabilit, ou une chance, que cet vnement puisse survenir.
Comme exemple, on pourrait prendre lamenace d'utilisation de code
malveillant contre une vulnrabilit particulire. S'il n'existe aucun
code malveillant connudans la nature le niveau de cette menace est
assez bas. Mais si un nouveau code malveillant apparat en force
dans leslistes de diffusion majeures, le niveau de la menace
augmente signicativement.
Risque, RiskLe risque est peut-tre la plus importante de toutes
ces dnitions puisque la mission principale des responsables dela
scurit de l'information est de grer ce risque. L'explication la
plus simple que j'ai entendue est que le risque est lachance de
quelque chose de mauvais arrive. C'est un peu trop simpliste et je
pense que la meilleure faon d'expliquerce terme est d'utiliser deux
ou trois formules :
Risk = Threat x Vulnerability
La multiplication est utilise ici pour une raison trs spcique.
Ds que l'un des deux termes vaut zro, le rsultat devientnul.
Autrement dit, il n'y a aucun risque s'il n'y a pas de menace ou de
vulnrabilit.
Un article sur les concepts lmentaires en scurit de
l'information 3
-
Un article sur les concepts lmentaires en scurit de
l'information
titre d'exemple, si notre serveur Linux est totalement vulnrable
selon la publication de l'avis CVE-XYZ mais qu'iln'existe aucun
moyen d'exploiter la vulnrabilit, alors le risque devient nul. De
mme, s'il existe quantit de faonsd'exploiter une vulnrabilit et que
nous avons dj appliqu le correctif (nous ne sommes donc plus
vulnrable), nousn'encourrons de nouveau aucun risque.Une formule
plus labore inclut l'impact, ou le cot, l'quation (littralement)
:
Risk = Threat x Vulnerability x Cost
Ce facteur permet un dcideur d'affecter une valeur quantitative
au problme. Ce n'est pas toujours une science exacte,mais si nous
savons qu'un vol de proprit intellectuelle vitale pour votre socit
nous coterait 4 milliards de $, alorsc'est une bonne information
considrer pour traiter le risque.Cette dernire partie est
importante. L'objectif global de l'affectation d'une valeur au
risque est que les responsablespuissent prendre les dcisions sur ce
qui doit tre trait ou pas. S'il existe un risque associ
l'hbergement de certainesdonnes sur un serveur FTP public, mais que
ce risque n'est pas assez srieux pour dpasser les bnces attendus,
alorsc'est une bonne affaire de continuer hberger ces donnes.C'est
tout l'enjeu. Les responsables chargs de la scurit de l'information
doivent en savoir assez sur les menaces etles vulnrabilits pour tre
capables de prendre des dcisions pertinentes sur la faon de
dvelopper l'infrastructureinformatique. La gestion des risques
justie pleinement le travail sur la scurit de l'information.
Politique, PolicyUne politique de scurit est une prise de
position afrme de la direction tablissant ce qui est permis dans
l'entrepriseet ce qui ne l'est pas. Une politique de scurit dira,
par exemple, que vous pouvez lire votre courrier
lectroniquepersonnel au travail mais que vous ne pouvez pas
consulter votre banque en ligne, etc. Une politique devrait tre
assezlarge pour englober l'entreprise entire et devrait avoir
l'aval de ses instances.
2.4.Rflexions personnelles
Dans cette section, je voudrais rassembler une srie d'ides
personnelles importantes sur la scurit de l'information.Nombre
d'entre elles ne sont pas des rgles et ne sont que le reet d'une
opinion. C'est le genre d'opinion que l'on n'apprendprobablement
pas en classe. Heureusement, on peut considrer qu'un bon nombre de
spcialistes du domaine est d'accordavec ces avis.Le but de la
Scurit de L'information est de faire en sorte que la mission
principale de l'entreprise soit remplie avecsuccs.Un sentiment de
frustration important merge lorsque les professionnels de la scurit
de l'information perdent de vue ceconcept cl. La scurit de
l'information n'est pas simplement l pour faire bien. Elle doit
aider l'entreprise faire sontravail. Si cette mission est de gagner
de l'argent, la mission principale du groupe de scurit, son niveau
le plus haut, estde faire que cette socit gagne de l'argent. Pour
le dire autrement, la raison d'tre du groupe de scurit est, en
premier lieu,d'empcher que l'entreprise perde de l'argent.Ce n'est
pas une faon trs originale de voir les choses pour ceux qui ont un
peu d'exprience dans le monde de la scuritde l'information ; mais
c'est un tat d'esprit adopter pour qui veut durer dans ce domaine.
Ce phnomne devient de plusen plus important avec toutes les socits
qui commencent attribuer des primes aux professionnels qui voient
la scuritcomme une source d'affaires plutt que comme un exercice
purement technique.L'infrastructure informatique actuelle facilite
le piratage.Alors que la plupart des attaquants les plus qualis
peuvent inventer (et inventent) des faons ingnieuses d'introduire
desvulnrabilits dans les systmes, la capacit ncessaire raliser ce
que nous observons au quotidien dans le monde descurit est
essentiellement base sur une architecture terriblement dfectueuse.
Qu'il s'agisse de la gestion mmoire, deslangages de programmation
ou de la conception d'architectures de scurit compltes ; aucun des
lments que nous utilisonsaujourd'hui n'a t conu en prenant les
aspects scurit en compte. Tous ces lments ont t conus par des
universitairespour des universitaires.Pour employer une analogie,
je pense que nous construisons des gratte-ciel avec du bois comme
le guano ou le balsa. Lespirates franchissent rgulirement ces
parois en bois et n'avons d'autre solution que de reboucher les
trous et prier. Pourquoi ?Parce que nous essayons de construire des
dices hauts quelques dizaines de mtres avec des matriaux beaucoup
tropfragiles. Les bois comme le balsa et le guano font
d'excellentes huttes qui rsistent une tempte de pluie occasionnelle
etun choc ou deux. Mais ils ne rsistent pas aux tornades, aux
tremblements de terre ou plus particulirement des hooligansavec des
torches.Pour construire tout a, nous avons besoin d'acier.
Aujourd'hui nous n'en avons pas. Nous continuons construire en
utilisantles mmes matriaux anciens. On retrouve les mmes problmes
de gestion mmoire qui permettent encore et encore lesdbordements de
tampons et les mmes problmes de langage de programmation qui
permettent d'crire du code dangereuxplus facilement que du code
scuris. Jusqu' ce que nous ayons de nouveaux matriaux pour
construire nous subironstoujours. Il est encore trop facile de
faire amber le bois ou d'y percer un trou.Ainsi, toute analogie
mise part, je pense que dans la prochaine dcennie nous verrons
l'apparition de nouveauxmodles d'architecture systme ; des modles
avec des conditions d'utilisation et d'excution fortement
restrictives selon leparadigme ferm par dfaut. Nous devrions aussi
voir apparatre de nouveaux langages de programmation, de
nouveauxenvironnements de dveloppement (IDE), de nouveaux
compilateurs et de nouvelles techniques de gestion mmoire. Le
toutconu partir de zro pour tre sr et robuste.Avec toutes ces
nouveauts, je pense qu' cette poque nous verrons des systmes exposs
seuls sur le rseau public pendantdes annes avec peu de chance de
compromission. Des attaques russies arriveront toujours, bien sr,
mais elles serontextrmement rares compar aujourd'hui. Les problmes
de scurit ne disparatront jamais, nous le savons tous, mais
Un article sur les concepts lmentaires en scurit de
l'information 4
-
Un article sur les concepts lmentaires en scurit de
l'information
ils reviendront des questions de conception/conguration humaine
plutt qu' des questions de corrections de dfautstechnologiques.La
scurit par l'obscurit est mauvaise, mais la scurit avec de
l'obscurit ne l'est pas.J'ai particip beaucoup de dbats en ligne au
cours des annes autour du concept de Scurit par l'Obscurit. la
base, il ya une croyance populaire qui veut que si tous les aspects
de notre dfense reposent sur le secret, celle-ci est
ncessairementdfectueuse. Ce n'est simplement pas le cas.La
confusion est base sur le fait que les gens ont entendu dire que la
scurit par l'obscurit est mauvaise et la plupart necomprennent pas
ce que le terme signie en ralit. En consquence, ils font la
supposition terrible que le fait de compter surl'obscurit, mme
comme une couche supplmentaire au dessus d'un bon niveau de scurit,
est mauvais. C'est malheureux.Ce que l'expression scurit par
l'obscurit dcrit en ralit est un systme o le secret est le seul
niveau de scurit. Cetteide vient du monde de la cryptographie o des
systmes de chiffrage faibles sont souvent mis en uvre de telle faon
quela scurit du systme dpend du secret de l'algorithme plutt que de
la cl. C'est mauvais et c'est la raison pour laquelle lascurit par
l'obscurit est connue comme une ide viter.Ce que beaucoup de gens
ne comprennent pas c'est que l'ajout de l'obscurit un niveau de
scurit dj solide n'est pas unemauvaise chose. Le projet
Portknocking est un exemple caractristique. Cet outil intressant
permet de cacher les dmonsqui sont accessibles depuis l'Internet.
Le logiciel analyse les journaux d'un pare-feu et reconnat des
squences de connexionspciques qui proviennent de clients de
conance. Quand l'outil reconnat la squence (knock) sur le pare-feu,
il ouvre leport. La cl c'est qu'il ne vous ouvre pas juste un shell
; ce qui reviendrait de la scurit par l'obscurit. Tout ce qu'il
fait ce niveau, c'est d'ouvrir une invite de connexion SSH
habituelle comme si l'tape prcdente n'avait pas eu lieu. C'est
doncune couche supplmentaire, et non la seule couche de scurit.La
scurit est un processus plutt qu'une nalit.C'est assez commun mais
a mrite d'tre rpt. Nous n'arriverons jamais atteindre l'objectif.
Il n'y a rien faire. C'est unobjectif que nous cherchons atteindre
et pour lequel nous luttons. Plus tt on l'apprend, mieux c'est.La
complexit est l'ennemie de la scurit.Vous pouvez me considrer comme
un excentrique, mais je pense que le concept de simplicit est une
belle chose. Celas'applique la conception Web, la programmation,
l'organisation de sa vie et oui : la scurit. Il est tout fait
logique que lacomplexit entrave la scurit parce que la capacit de
chacun dfendre son systme repose sur la comprhension compltede son
architecture. La complexit rend les choses plus difciles
comprendre. J'en ai assez dit.
2.5.Conclusion
Mon espoir est que cette petite collection d'ides sur la scurit
de l'information sera utile quelqu'un. Si vous avez desquestions ou
des commentaires n'hsitez pas m'envoyer un courrier lectronique .
Je suis srque j'ai oubli une tonne de trucs qui auraient d tre
prsents ici et j'accepterai n'importe quelle rprimande sur ces
lignes.
3.Termes techniques et documents de rfrence
An Information Security Concepts PrimerArticle original : An
Information Security Concepts Primer5 .
Advisories, Common Vulnerabilities and Exposures,
CVE-AAAA-NNNNAvis annonant une vulnrabilit informatique suivant un
format dni. Voir Common Vulnerabilities and Exposures6.L'avis LSASS
CVE-2004-08947 est cit en exemple.
Dni de Service, DoSRendre un service Internet indisponible. Voir
Dni de service8.
DMZRseau isol entre au moins deux pare-feux. Voir Zone
dmilitarise9.
Gestion du risqueIdentier les risques qui psent sur les actifs
et les personnels d'une entreprise. Voir Gestion des risques10.
Packet sniffer, renieur, sniffeurLogiciel de rcupration des
informations transitant sur un rseau. Voir Packet sniffer11.
Pare-feu, rewalllment logiciel et|ou matriel ayant pour rle de
ltrer les communications entre rseaux. Voir Pare-feu12.
PortknockingOuverture de port la demande en fonction de squences
de connexions dnies. Voir PORT KNOCKING13.
5 http://dmiessler.com/study/infosecconcepts/6
http://fr.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures7
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-08948
http://fr.wikipedia.org/wiki/Dni_de_service9
http://fr.wikipedia.org/wiki/Zone_dmilitarise_(informatique)10
http://fr.wikipedia.org/wiki/Gestion_du_risque11
http://fr.wikipedia.org/wiki/Packet_sniffer12
http://fr.wikipedia.org/wiki/Pare-feu_(informatique)13
http://www.portknocking.org/
Un article sur les concepts lmentaires en scurit de
l'information 5
-
Un article sur les concepts lmentaires en scurit de
l'information
Scurit par l'obscuritNe rien divulguer sur un systme pour en
protger la scurit. Voir Scurit par l'obscurit14.
14 http://fr.wikipedia.org/wiki/Scurit_par_l'obscurit
Un article sur les concepts lmentaires en scurit de
l'information 6
Un article sur les concepts lmentaires en scurit de
l'informationTable des matires1.Meta-information2.Un article sur
les concepts lmentaires en Scurit de l'Information2.1.Les 4
principes de base en scurit selon Eric Cole2.2.La triade CIA (aka.
CIA Triad)2.3.La terminologie2.4.Rflexions
personnelles2.5.Conclusion
3.Termes techniques et documents de rfrence
