Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Sécurité Cargèse 2001 Bernard Boutherin 1
Tendances de la sécuritéinformatique à l’IN2P3.
Actions pour renforcer lasécurité.
Tendances de la sécuritéinformatique à l’IN2P3.
Actions pour renforcer lasécurité.
Sécurité Cargèse 2001 Bernard Boutherin 2
IntroductionIntroductionÜObjectifs de la présentation :
– Tendances et objectifs de la politique de sécurité àl’IN2P3.
– Les journées sécurité et l’organisation du groupesécurité.
– Les actions pour renforcer la sécurité. Maquettesmises en place dans les sites pilotes.
Sécurité Cargèse 2001 Bernard Boutherin 3
TendancesSécurité par rapport quoi?TendancesSécurité par rapport quoi?ÜL’intérieur ?
– Utilisateurs à comportement dangereux :– conviviaux,– négligents,– entreprenants,– nuisibles.
– Administrateurs débordés.
Sécurité Cargèse 2001 Bernard Boutherin 4
TendancesSécurité par rapport quoi?TendancesSécurité par rapport quoi?
ÜL’extérieur ?– Attaques de plus en plus fréquentes.– Automatisation de la détection et de l’exploitation de
la faille.– Le nombre de cibles augmente : exemple du
passage du TX au PC LINUX comme poste detravail.
– La tendance : le vers ou le virus d’Unix.
Sécurité Cargèse 2001 Bernard Boutherin 5
TendancesLes freins à la sécuritéTendancesLes freins à la sécurité
ÜPression des utilisateurs opposés à priori à la miseen place d’une politique stricte (donc contraignante).
ÜManque de moyens humains.ÜTopologie, équipements réseau inadaptés.
Sécurité Cargèse 2001 Bernard Boutherin 6
TendancesÉvolution de la sécurité par rapportaux attaques internes
TendancesÉvolution de la sécurité par rapportaux attaques internesÜ Diffusion de la charte.Ü Bonne gestion système.Ü Diffusion d’outils de sécurité : tcpwrapper, ssf,
tripwire, nessus..
Ü Création de zones.Ü Séparation des zones par des firewall/proxy.Ü Surveillance, logs et audit réseau.
Aujourd’hui
Demain ?
Hier
Sécurité Cargèse 2001 Bernard Boutherin 7
TendancesÉvolution de la sécurité par rapport auxattaques extérieures
TendancesÉvolution de la sécurité par rapport auxattaques extérieures
Ü Bonne gestion système.Ü Diffusion d’outils de sécurité.Ü Filtrage des ports utiles.
Ü Filtrage tout sauf.Ü Point d’entrée obligé : le firewall.Ü Point de sortie obligé : le proxy.Ü Surveillance, logs et audit réseau.
Aujourd’hui
Demain ?
Hier
Sécurité Cargèse 2001 Bernard Boutherin 8
Objectifs de sécurité :Objectifs de sécurité :Ü authentification,Ü contrôle d ’accès,Ü intégrité des données,Ü imputabilité,Ü confidentialité des données,Ü non-répudiation,Ü disponibilité des données,Ü audit,Ü assurance.
Sécurité Cargèse 2001 Bernard Boutherin 9
FonctionnementFonctionnementÜ Information des correspondants sécurité :
– Diffusion des avis de sécurité, journées sécurité.Ü Gestion des incidents en relation avec les
correspondants sécurité.– Filtrage lpd
Ü Gestion des sites d’expérience en relation avec le CC.– Mise en sécurité du site Themis.– Filtrage source pour le site Bugey.
Ü Évolution de la politique de sécurité basée sur :– Les journées sécurité.– La participation des laboratoires dans le cadre d’expériences
pilotes.
Sécurité Cargèse 2001 Bernard Boutherin 10
FonctionnementLes journées sécurité.FonctionnementLes journées sécurité.
ÜRassembler les correspondants sécurité.ÜAcquérir les connaissances théoriques
nécessaires à une bonne sécurité, SIARS?.ÜDéfinir actions de sécurité et mettre en place des
expérimentations pilotes dans les laboratoires.
Sécurité Cargèse 2001 Bernard Boutherin 11
FonctionnementSites pilotes?FonctionnementSites pilotes?
ÜUtiliser les compétences des laboratoires.ÜMettre en œuvre la solution en grandeur réelle.
« dans la vraie vie du vrai monde » (BernardPerrot auteur contemporain).
ÜBénéficier d’un retour d’expérience de la partdes utilisateurs et des administrateurs.
Sécurité Cargèse 2001 Bernard Boutherin 12
FonctionnementMoyens pour les sites pilotesFonctionnementMoyens pour les sites pilotes
ÜSupport technique.ÜMoyen matériel : financement des prototypes
demandé à l’IN2P3.
Sécurité Cargèse 2001 Bernard Boutherin 13
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 14
1 - Filtrage « tout sauf »sur tout ou partie du réseau1 - Filtrage « tout sauf »sur tout ou partie du réseau
Routeurfiltrant
Réseau labo
telnetd : 23 printer : 515
Port <1024 = mode privilégié
ÜPourquoi filtrer?
telnet isnothere.in2p3.frslpr isnotbad.in2p3.fr
isnothere isnotbad
Sécurité Cargèse 2001 Bernard Boutherin 15
1 - Filtrage « tout sauf »sur tout ou partie du réseau1 - Filtrage « tout sauf »sur tout ou partie du réseauÜBuffer overflow et exécution de code arbitraire :
– Hypothèse : le serveur ne teste pas la taille d’unargument que le client lui passe.
– Le client lui passe un argument beaucoup trop long,dont la fin va écraser une zone de code.
– Ce code sera exécuté il a été établi par le client!– Si le processus serveur tourne en mode privilégié le
client aura bientôt le contrôle de la machine..
Sécurité Cargèse 2001 Bernard Boutherin 16
1 - Filtrage « tout sauf »sur tout ou partie du réseau1 - Filtrage « tout sauf »sur tout ou partie du réseau
ÜFiltrage des ports inférieurs à 1024 par défaut, àl ’exception de quelques ports sur quelquesmachines.
ÜSécurise le réseau par rapport aux attaquestelles que LPRng (port 515):– Daemon lpr existant par défaut, exécuté en mode
privilégié, mais non utilisé depuis l’extérieur dans laplupart des cas.
Sécurité Cargèse 2001 Bernard Boutherin 17
1 - Filtrage « tout sauf »1 - Filtrage « tout sauf »
ÜCompatibilité avec l’interface de modification duDNS.– L ’interface de modification du DNS est utilisé pour
régler les filtres.– Il ne permet pas de limiter les réseaux extérieurs qui
peuvent accéder (filtrage par adresse source).
Sécurité Cargèse 2001 Bernard Boutherin 18
Ü Interface de modification du DNS
1 –Filtrage « tout sauf »1 –Filtrage « tout sauf »
Sécurité Cargèse 2001 Bernard Boutherin 19
1 - Filtrage « tout sauf »1 - Filtrage « tout sauf »Ü Nécessite un bilan des applications utilisées depuis et
vers l’extérieur.Ü Permet de ne pas avoir d’application de ce type ouverte
sans que l’administrateur ne soit informé.Ü Une bonne première étape avant la mise en place d’un
firewall.Ü Labo pilotes pour le filtrage par défaut des ports < 1024
Subatech, IPNO, IPNL; en deuxième semaine : LAL etCDF.
Sécurité Cargèse 2001 Bernard Boutherin 20
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 21
2 – Segmentation / « FIREWALL »Isoler tout ou partie du réseau2 – Segmentation / « FIREWALL »Isoler tout ou partie du réseauÜ« firewall » <–> filtrage niveau 3ÜTout ou partie? : Firewall en entrée ou
segmentation du réseau?– Difficile de mettre en place un Firewall en entrée de
site sans étape intermédiaire => segmentation.– Une grande partie des problèmes viennent de
l’intérieur => segmentation.
Sécurité Cargèse 2001 Bernard Boutherin 22
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
Topologie : Routeurfiltrant
FIREWALL
Portables Libre service DMZ
…
Sécurité Cargèse 2001 Bernard Boutherin 23
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
Topologie visée : Routeurfiltrant
FIREWALL
Portables Libre service DMZ
…
Sécurité Cargèse 2001 Bernard Boutherin 24
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
ÜFiltres dans les routeurs gérés par le CCin2p3.ÜFirewall géré par les administrateurs du
laboratoire :– Permet le filtrage entre les zones.– Permet le filtrage par adresse source.
Sécurité Cargèse 2001 Bernard Boutherin 25
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
ÜCréation de zones pour :– Les portables.– Les machines libre service.– Les services administratifs.– DMZ.…
Sécurité Cargèse 2001 Bernard Boutherin 26
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
ÜTopologie pour segmenter :– Réseau commuté et VLANs.– Possibilité de rassembler toutes les machines
concernées sur un même segment.
Sécurité Cargèse 2001 Bernard Boutherin 27
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALLÜVLAN par port :
– 7, 8, 10, 11, 12, 15 et 18 constituent un VLAN.– Attribuer un subnet aux machines correspondantes.– FW assure la communication entre le VLAN et le reste du réseau.
7 8 101112 15 18
FW
Prise salle de conférence
Sécurité Cargèse 2001 Bernard Boutherin 28
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
7 8 1112 15 18
FW
Prise salle de conférence
ÜVLAN :– Un VLAN sur plusieurs commutateurs.– Plusieurs VLANs sur un même port (18 sur le schéma).
Sécurité Cargèse 2001 Bernard Boutherin 29
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
ÜLes fonctions de FW (base LINUX) pourisoler le parc des portables :– Routage du trafic entre le le VLAN et le reste du réseau.– Filtrage :
– Exemple : utilisation du proxy http pour la salle de conf. :IP Source PORT Source IP Dest. PORT Dest.Salle de conf. >1024 W3CACHE 3128
– Journalisation : les informations d’adresse et port source,adresse et port destination sont loggées.
– Serveur DHCP :– Seules les adresses MAC déclarées sont autorisées.– Les adresses IP attribuées sont fixes pour la traçabilité des logs.
Sécurité Cargèse 2001 Bernard Boutherin 30
2 - Segmentation / FIREWALL2 - Segmentation / FIREWALL
ÜConclusion :– Segmenter le réseau pour :
– Isoler les parties mal maîtrisées du réseau.– Diviser pour limiter l ’impact d ’une attaque.– Filtrer par adresse source.– Acquérir de l ’expérience avec les firewall.
– Labo pilotes pour segmenter :– CENBG : segmentation + NAT,– LPC Caen : firewall pour une expérience nomade.
Sécurité Cargèse 2001 Bernard Boutherin 31
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 32
3 - PROXY3 - PROXY
ÜProblématique :– Émergence de nouvelles applications : téléphonie
sur IP, vidéoconférence, qui sont (Netmeeting,Realplayer, VDOphone etc) basées sur des flux tcpou udp.
– Comment déployer ces applications au travers unfirewall?
Sécurité Cargèse 2001 Bernard Boutherin 33
3 - PROXY3 - PROXY
ÜComment déployer ces applications au traversun firewall?– Ouvrir les ports nécessaires? autant de trous de
sécurité.– Mettre en place un proxy qui assure l’authentification,
et relaye l’application jusqu’à la machine locale.
Sécurité Cargèse 2001 Bernard Boutherin 34
3 - PROXY3 - PROXY
ÜTopologie :Routeurfiltrant
FIREWALL
DMZ
PROXY telnet
Serveur tel.exemple.com
Client telnet socksifiételnet tel.exemple.com
Ne voit que le proxy telnet23
1080
1555
Sécurité Cargèse 2001 Bernard Boutherin 35
3 - PROXY3 - PROXY
ÜSOCKS protocole pour développer desapplications client –serveur qui utilisent lesservices d’un firewall sans dégrader lasécurité.
ÜSOCKS V5 : RFC 1928.ÜSOCKS V5 : supporte l’UDP.
Sécurité Cargèse 2001 Bernard Boutherin 36
3 - PROXY3 - PROXYÜ Implémentations du protocole Socks
– e-border : http://www.socks.nec.com– version commerciale : e-border– version gratuite : « socksV5 reference implementation. »
– Dante : http://www.inet.no/dante– Licence BSD/CMU (sources).
– Applications socksifiées :– ftp, telnet : sous UNIX, librairies dynamiques socksifiées.– Netscape : support natif de socks.
Sécurité Cargèse 2001 Bernard Boutherin 37
3 - PROXY3 - PROXY
ÜTIS (Trusted Information System).– Passerelles applicatives pour :
– ftp, telnet, rlogin, X11, NNTP.
– Serveur d’authentification :– Passwd, S/Key, SecurID.
Sécurité Cargèse 2001 Bernard Boutherin 38
3 - PROXY3 - PROXY
ÜProposition d’expérimentation :– Pré requis : existence d’une zone dans le réseau,
par exemple le parc des machines libre service.– Mettre en œuvre un Proxy http, ou ftp avec socks,
ou TIS (ou autre!).
Sécurité Cargèse 2001 Bernard Boutherin 39
3 - PROXY3 - PROXY
ÜConclusion :– Firewall : point d ’entrée obligé,– Proxy : point de sortie obligé!
Sécurité Cargèse 2001 Bernard Boutherin 40
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 41
4 - Surveillance : journalisation4 - Surveillance : journalisation
ÜMise en place d’un outil d’acquisition etd’analyse des logs en entrée d’un site.
ÜEn cas d’intrusion : analyse à posteriori.– Actuellement limité par les logs routeurs :
– 4000 entrées/20mn.– Manque : port source, port destination.
Sécurité Cargèse 2001 Bernard Boutherin 42
4 - Surveillance : journalisation4 - Surveillance : journalisation
1
2
RouteurÜPort monitoring :– Le trafic en entrée du réseau
arrive sur le port 1 ducommutateur, il est dupliquépar le commutateur vers lamachine de surveillance.
Station de surveillance
Commutateur
Sécurité Cargèse 2001 Bernard Boutherin 43
4 - Surveillance : journalisation4 - Surveillance : journalisation
ÜGénération d’alarmes.– Détection de scans.– Trafic exceptionnel vers ou depuis une machine.
ÜLa CNIL :– Transparence et proportionnalité.
Sécurité Cargèse 2001 Bernard Boutherin 44
4 - Surveillance : audit.4 - Surveillance : audit.
Ü SNORT (sniffer basé sur libpcap):– http://www.snort.org licence GPL.– Détection de scan orienté réseau (parc).– Détection d’empreintes dans les paquets.
– Napster, exploit, backdoor, ddos, dos, dns, netbios, webcgi, sql…
– Système de règles (écrites à partir de la signature del’ attaque).
Ü Permet de surveiller le trafic pour adapter les règles defiltrage.
Sécurité Cargèse 2001 Bernard Boutherin 45
4 - Surveillance : audit4 - Surveillance : audit
ÜAudit sécurité avec nessus :– www.nessus.org– Renaud Deraison
ÜStation d ’audit nessus au CC?
Sécurité Cargèse 2001 Bernard Boutherin 46
4 - Surveillance : journalisationet audit.4 - Surveillance : journalisationet audit.
ÜConclusion :– Journalisation et audit : prévenir les intrusions et
faire évoluer la politique de sécurité au cours dutemps.
– Sites pilotes : Subatech, LPC Clermont, ISN.
Sécurité Cargèse 2001 Bernard Boutherin 47
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 48
5 - Virus : filtrage amont5 - Virus : filtrage amont
ÜObjectifs :– Décrire ce que permet la technique.– Évaluer s’il y a un besoin pour ce type d’outils dans
l’in2p3.– Étudier ce qui peut être fait dans notre contexte en
tenant compte du problème de la confidentialité de lacorrespondance privée (jugement récent del’« affaire » ESPCI).
Sécurité Cargèse 2001 Bernard Boutherin 49
5 - Virus : filtrage amont5 - Virus : filtrage amont
ÜPrincipe :– le flux de messages est dérouté depuis sendmail
vers un antivirus,– les champs MIME du message sont séparés,– les attachements sont décompactés
Sécurité Cargèse 2001 Bernard Boutherin 50
5 - Virus : filtrage amont5 - Virus : filtrage amont
ÜPrincipe :– Une analyse des virus est effectuée comme avec un
antivirus classique :– base de signatures (plusieurs millions de signatures).– base de comportements : "exécution sous contrôle"
(plusieurs dizaines de milliers de comportements).
Sécurité Cargèse 2001 Bernard Boutherin 51
5 - Virus : filtrage amont5 - Virus : filtrage amont
ÜPrincipe :– Si un virus est détecté, différentes actions sont
possibles :– suppression du virus et envoi du mail,– destruction du mail et envoi d'un mail au destinataire et à
l'expéditeur, envoi d'un mail à l'administrateur etc..
Sécurité Cargèse 2001 Bernard Boutherin 52
5 - Virus : filtrage amont5 - Virus : filtrage amont
Ü Implémentations :– AMAVIS a mail virus scanner :
– http://www.amavis.org– Exemple de mise en œuvre : ENS Paris.w http://www.spi.ens.fr/beig/amavis.htmlw Problème des mails diffusés à tout l ’organisme.
– Solution commerciale : Trend Micro– Coût : Avec une solution commerciale comme celle de
Trend Micro le coût est de 25F/utilisateur soit 5000F pourun laboratoire de 200 personnes.
Sécurité Cargèse 2001 Bernard Boutherin 53
5 - Virus : filtrage amont5 - Virus : filtrage amont
ÜConclusion :– Filtrage amont des Virus ou violation de la
correspondance privée?
Sécurité Cargèse 2001 Bernard Boutherin 54
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 55
6 - Infrastructure à Gestion deClefs6 - Infrastructure à Gestion deClefs
ÜHistorique :– DATAGRID, globus.
– Certificats pour authentifier les machines et lesutilisateurs de la grille.
– Création d ’une Autorité de Certification Test pourl ’IN2P3.
Sécurité Cargèse 2001 Bernard Boutherin 56
6 - Infrastructure à Gestion deClefs6 - Infrastructure à Gestion deClefs
ÜAutres applications des certificats :– Authentification pour l’accès à des zones restreintes
d’un serveur Web.– Signature de messages : chiffrement de l ’empreinte
MD5 du message avec la clef privée de l ’expéditeur.– Chiffrement de messages : même l’administrateur du
système ne peut pas le lire.
Sécurité Cargèse 2001 Bernard Boutherin 57
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 58
7 - Gestion centralisée descomptes utilisateurs.7 - Gestion centralisée descomptes utilisateurs.
ÜL'objectif est de permettre une meilleure gestiondes comptes utilisateurs, avec la fermeturerapide des comptes des utilisateurs qui quittentun labo.
ÜEt pourquoi pas un identifiant unique pourl ’IN2P3?
Sécurité Cargèse 2001 Bernard Boutherin 59
7 - Gestion centralisée descomptes utilisateurs.7 - Gestion centralisée descomptes utilisateurs.
ÜLe CC a un produit, basé sur oracle, qui pourraitêtre adapté à un laboratoire.
ÜL'IPNO a également proposé de travailler surune solution commune axée sur la gestion dupersonnel.
ÜA l'ISN un groupe de DESS a développé uneapplication MySQL pour gérer les utilisateurs etles machines.
Sécurité Cargèse 2001 Bernard Boutherin 60
7 – Gestion centralisée descomptes utilisateurs.7 – Gestion centralisée descomptes utilisateurs.
Ü Schéma relationnel de la base ISN utilisateurs et machines :
MachineNumSérie
NomModele
TypeDateAchat
DureeGarantieNumFnr
NumPieceBatiment
Localisation
FournisseurNumFnr
NomAdresse
CPVille
TelephoneFaxMail
TelephoneSAVFaxSAVMailSAV
CompteNumPers
LoginPassword
NumSerieMUidGid
NumDisqShell
HomeDirCommentaire
DisqueNumDisqChemin
NumSérieM
MachResNumSérie
NumMachineNumReseauNumPrise
DNSEthernetAdEth
RéseauNumReseau
MasquePrise
NumPriseNumPieceBatimentDebitRes
SwitchNumPort
Type
PriseBrasSwitch
NumPort
Sécurité Cargèse 2001 Bernard Boutherin 61
7 - Gestion centralisée descomptes utilisateurs.7 - Gestion centralisée descomptes utilisateurs.
ÜDéclaration à la CNIL?
Sécurité Cargèse 2001 Bernard Boutherin 62
7 - Gestion centralisée descomptes utilisateurs.7 - Gestion centralisée descomptes utilisateurs.
ÜConclusion :– Généraliser un outil commun pour gérer les
comptes utilisateurs?
Sécurité Cargèse 2001 Bernard Boutherin 63
Actions pour la sécuritéActions pour la sécurité
Ü 1 - Filtrage.Ü 2 - Segmentation / Firewall.Ü 3 - Proxy.Ü 4 - Surveillance : journalisation, audit.Ü 5 - Virus : filtrage amont.Ü 6 - Infrastructure à Gestion de Clef.Ü 7 - Gestion centralisée des comptes.Ü 8 - Charte informatique.
Sécurité Cargèse 2001 Bernard Boutherin 64
8 – Charte informatique8 – Charte informatique
Ü Mise à jour de la charte– rapport de la CNIL sur la cyber surveillance des salariés
http://www.cnil.fr/thematic/docs/entrep/cybersurveillance.pdf– Informatique et traçage,– Limites du contrôle :w Transparence,w Proportionnalité,w Discussion collective.
– Jurisprudence.
Sécurité Cargèse 2001 Bernard Boutherin 65
8 – Charte informatique8 – Charte informatique
ÜTransparence.– Liste des traces (logs).– Durée pendant laquelle les sauvegardes sont
conservées.
ÜProportionnalité.ÜDiscussion collective.
– Amendement de la charte par les représentants dupersonnel.
Sécurité Cargèse 2001 Bernard Boutherin 66
Conclusion :Conclusion :
ÜLa politique de sécurité doit évoluer pourprécéder, sinon suivre, l’évolution destechniques de piratage.
Ü Il faut ajuster les droits avec les besoins : unemachine qui n’est pas serveur d’impression n’apas besoin d’être accessible sur le port lpr.
ÜExpérimenter de nouveaux outils et mettre encommun les connaissances.