8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
1/32
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
2/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright
Copyright 2004-2009 Groupe4, 4IM SAS. Tous droits rservs
Mention sur les droits restreints
Ce document est protg par copyright et ne peut tre
copi, photocopi, reproduit, traduit ou converti sous
forme lectronique ou toute autre forme exploitable par
un ordinateur, en tout ou partie, sans le consentement
pralable crit du Groupe 4, 4IM SAS. Les informations
contenues dans ce document sont sujettes
modification sans pravis et ne constitue aucunengagement de la part du Groupe 4.
LA DOCUMENTATION EST FOURNIE TELLE
QUELLE SANS GARANTIE DAUCUNE SORTE, Y
COMPRIS MAIS SANS LIMITATION, TOUTE
GARANTIE DE QUALITE MARCHANDE OU DADEQUATION A UN USAGE
PARTICULIER. DE PLUS, GROUPE 4, 4IM, NE FOURNIT AUCUNE GARANTIE
CONCERNANT LUTILISATION OU LE RESULTAT DE LUTILISATION DU DOCUMENT
EN TERMES E VERACITE, DEXACTITUDE, DE FIABILITE OU AUTRES.
Marques commerciales et de service
Copyright Groupe4, 4IM SAS. Tous droits rservs.
Toutes autres noms ou marques sont la proprit de leurs dtenteurs respectifs.
CWP1567D1252-1A
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 2
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
3/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Avant Propos
La scurit des systmes informatiques et plus globalement des systmes dinformation
(SI) a t considr pendant trs longtemps par les entreprises, comme un aspect desecond plan. Peu peu, une prise de conscience amne la Scurit des SI sur le devant
de la scne. La raison principale est lie la multitude dincidents et plus grave, de
sinistres qui provoquent de lourdes pertes aussi bien pour les entreprises que pour le
simple citoyen.
Mais le chemin est encore long pour que la Scurit des SI soit une vritable ralit dans
les organismes et les entreprises petites, moyennes ou grandes.
Encore trop souvent, jentends dire Mon entreprise est
scurise car elle dispose dun firewall et dun antivirus. Si
cela est un bon dbut, il ne sagit que des premires marchesde limmense escalier de la Politique de Scurit des SI, que
lon pourrait comparer lescalier infini du mathmaticien
Penrose. La scurit des systmes dinformation est un (trs)
vaste domaine en perptuelle volution.
LescalierdePenrose
illustration:PhilipRonanMalheureusement la scurit est apprhende correctementaprs un sinistre important.
La scurit a un cot, me dit-on.
Je rponds : Exact ! Mais la non-scurit a galement un cot.
Plus gnralement, le systme dinformation a un cot. Mais bien conu, bien utilis le
systme dinformation savre tre un atout de performance pour un organisme. On
associe alors, Systme dinformation et gain de productivit.
La vision de la Scurit des SI doit tre semblable, au dtail prs quelle nengendre pas
de gain en premier lieu, mais elle vite des pertes (lies un sinistre). Bien apprhende,
la scurit des SI ou plus simplement la scurit de linformation, peut apporter un
avantage concurrentiel. Lapproche de la Scurit de linformation est donc un enjeu
financier et mme stratgique pour les organismes.
Il faut donc penser et concevoir la Scurit des systmes dinformation comme un
investissement. Et en cela, cest un vritable chantier.
Cest lobjectif de ce livre blanc : Faire prendre conscience de lenjeu scuritaire et
prsenter dans ses grandes lignes, les contours dune approche gagnante de la Scurit
des SI. Ainsi dans cette perspective, sensibiliser et former lensemble des acteurs de
lentreprise et des organismes, est une premire pierre ldifice.
Naturellement ce livre blanc est une synthse et de fait nest pas exhaustif. Le terme
gnrique dOrganisme sera employ pour dsigner globalement les entreprises,
organisations, administrations, collectivits territoriales, .
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 3
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
4/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
A Propos de lAuteur
Bruno DOUCENDE est Consultant indpendantspcialis en Scurit des Systmes dinformation.
Ingnieur en Informatique EFREI, aprs plusieurs
annes en Socit de Service en tant qu'Ingnieur
d'Etudes & Dveloppement et Chef de Projet, Bruno
DOUCENDE a pris en charge, la direction dunits de
Recherche & Dveloppement en conception logicielle et
en exploitation dinfrastructures dans le domaine des
systmes dinformation et des NTIC.
Il a assur des missions responsabilit oprationnelle,dorganisation, de pilotage, daudit, de stratgie & conseil, et de management dans la
conception, le dveloppement et lexploitation de systmes dinformation pour divers
secteurs dactivits : le mdical, les transports, les administrations, collectivits locales,
lAronautique, Industrie, Les socits de services, ...
Ces expriences l'ont amen tre en permanence au contact des problmatiques et
besoins des entreprises et ainsi apprhender et participer leur stratgie globale dans un
contexte concurrentiel, o la scurisation de leur Systme dInformation constitue un enjeu
majeur.
Fort de ces expriences professionnelles russies, Bruno Doucende accompagne
aujourdhui les socits, en tant que consultant sous lenseigne Synertic Conseil.
Il anime des sminaires sur la scurit des systmes dinformation en France et
lInternational, auprs des petites, moyennes et grandes entreprises, administrations et
ministres. Il les accompagne et les assiste dans llaboration et le suivi de leur politique
de scurit des SI.
Au sein des Ecoles d'Ingnieur-Manager et Centre de Formation du Groupe 4, Bruno
DOUCENDE a pris en charge le ple Scurit des SI et intervient comme enseignant dans
les domaines de la Scurit des Systmes dInformation, du Management de la Qualit,
de lIntelligence Economique. Il fait galement parti des consultants qui encadrent et
assurent le suivi des projets Sim Game , mettant en situation relle un projet
denvergure, sur un systme dinformation avec des quipes de 20 50 personnes durant
plusieurs mois.
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 4
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
5/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Sommaire
Contexte .................................................................................................................................. 6
La scurit des SI : Effet Marketing ou Rel Besoin? ........................................................ 9
Lhomme : le maillon faible ................................................................................................. 13
Les codes malicieux : Vritable pandmie ........................................................................ 16
Vulnrabilit et Intrusion : le vol ltalage ...................................................................... 18
La protection de linformation ............................................................................................ 19
Les aspects juridiques ........................................................................................................ 21
Concevoir des solutions scurises : Une ncessit ...................................................... 22
Management de la scurit : une vision globale .............................................................. 25
De la Protection la Maitrise Stratgique de lInformation ............................................. 28
Le RSSI : une comptence transverse, un rle stratgique ............................................ 29
Conclusion : La Scurit, cest laffaire de tous ! ....................................................... 30
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 5
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
6/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Contexte
La socit de linformation : Une vidence
Une information est une donne qui a un sens. En fonction dun modle dinterprtation,
une donne constitue une signification pour une personne au moment o celle-ci va en
prendre connaissance.
Une information peut apporter celui qui la dtient un avantage substantiel. On parle alors
de valeur de linformation. Quelque soit les domaines, la connaissance ou la maitrise de
linformation peut savrer un atout dcisif.
Cela est vrai depuis la nuit des temps. Mais aujourdhui, grce lessor des technologies
de linformation et de la communication, la gestion de linformation devient plus aise etplus efficiente.
Aujourdhui, qui pourrait nier lomniprsence de loutil informatique dans nos quotidiens,
que ce soit dans le domaine professionnel ou la maison.
Lenvironnement et les outils numriques se sont propags partout, la simplicit et la
facilit daccs et de manipulation de linformat
Loutil informatique a permis doptimiser
lacquisition, le traitement et la production
ion, sous toutes ses formes, est une ralit.
ajorit des
es systmes dInformation : Un atout majeur
ence est pre, pour assoir leur position
de productivit. Pour rpondre ces
dinformation. Linterconnexion dessystmes et le dveloppement des rseaux
a complt les possibilits de partage, de
diffusion et de communication de cette
information.
Bien videment, lactivit conomique ny a
pas chappe. Si bien que la m
entreprises ne peuvent plus se passer de
leur systme dinformation.
Dpendance
des
entreprises
vis
vis
de
leur
SystmedInformation(Clusif2008)
L
Dans le contexte de mondialisation o la concurr
les entreprises sont en qute de comptitivit,
ncessits, les technologies de linformation et de la communication, sont devenues
incontournables dans le quotidien des entreprises. La maitrise et la ractivit de
linformation constituent un avantage stratgique. Les systmes dinformations sont un
enjeu, un dfi pour les entreprises, organismes et administrations. Ainsi les Systmes
dInformation ont un primtre fonctionnel de plus en plus large et complexe avec une
exigence dadaptation et dvolutivit trs importante et vloce.
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 6
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
7/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Si les technologies de lInformation et de la communication sont aujourdhui un facteur de
progrs et de croissance incontestable pour les entreprises, elles sont aussi leur talon
Linscurit des SI : Des exemples foisons
simplement travers
e de virus
ier n
ne pas omettre, concerne les dfaillances
u systme dinformation, cause de pannes, de mauvaises utilisations ou catastrophes
organisme. Il y a encore quelques annes, cette inscurit des SI avait des consquences
leinement le potentiel des autoroutes de linformation.
dAchille. Une dpendance trop forte et une complexit non matrise, sont synonymes de
faiblesse potentielle, si elles ne sont pas gres.
Grce aux medias ou tout
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 7
des expriences autour de nous, les exemples
de malveillance visant les systmes
dinformation sont nombreux :
Les ordinateurs incontrlables et
inutilisables causinformatiques.
Lintrusion par un pirate dans un rseau
engendrant le vol dinformations.
Le nombre de sites web dfigurs par
des groupes de cyber-tagueurs.
Les logiciels espions (spyware) installs
discrtement sur nos ordinateurs pour p os habitudes, nos comportements,
nos donnes.
Au-del de la malveillance, un autre aspect,
d
naturelles, les rendant totalement ou partiellement inutilisables.
Tous ces exemples peuvent avoir des consquences graves voire vitales pour tout
limites, mais aujourdhui nous sommes entrs dans lre
industrielle . Effectivement, les attaquants cherchentdsormais montiser leurs mfaits.
Nous sommes passs des bandits de grands chemins aux
organisations criminelles structures et dtermines exploiter
p
90% des socits ontsubi au moins une
attaque, dont 20% ont
provoqu un sabotage
dedonnes.
(FBI:2005)
0%
20%
40%
60%
80%
100%
Virus Spywares Intrusions
84%80%
33%
Rpartitiondesdattaquessubiesparlesentreprises(FBI:2005)
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
8/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
La cybercriminalit : Mutation des crimes et dlits
oute activit, toute innovation synonyme de progrs, peut
ents illicites. Le domaine des
chnologies de linformation et de la communication ny
itoyens et des activits conomiques. Les atteintes peuvent porter sur le
et de la libert individuelle.
caractristique de cet espace est la dmatrialisation, le caractre pseudo-virtuel et la
ultitude de proies presque en simultan, dmontre que
de
actions spcifiques aux Technologie de lInformation et la Communication
(virus, vol de donnes, escroquerie en ligne, ).
le
scurisation.
chnologies peuvent
nrer des traces, des empreintes numriques et servir de rservoir de preuves,
pensables pour les enqutes et ventuelles poursuites condition davoir mis en
T
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 8
engendrer aussi des comportem
techappe pas.
Ainsi, la cybercriminalit est une application et adaptation des
crimes travers les nouvelles technologies, dont les
consquences peuvent tre particulirement srieuses pour la
scurit des c
plan de la dignit, du patrimoine
En
2005,
selon
une
enquteduFBI,lecoutde
la cybercriminalit aux
USA a reprsent plus de
67milliarddedollars.
La dlinquance a toujours exist et sest toujours adapte aux diffrents espaces
(terrestre, maritime, arien). Aujourdhui avec les technologies de linformation et de la
communication, un nouvel espace est disponible. Lespace informationnel. La
capacit tre en relation instantanment avec potentiellement plus dun milliard
dinternautes en un clic de souris.
De ce fait, un sentiment de virtualisation incite certains, franchir aisment les barrires
lgales et morales quils nauraient certainement pas franchir dans les autres espaces.
De plus, la facilit dagresser une m
cette dlinquance a un potentiel de nuisance trs considrable.
La cybercriminalit se dfinit comme tous les types de dlits perptrs travers ou lai
dinternet ou autres rseaux de tlcommunications. Elle se caractrise par trois types
dinfractions :
Les infractions relatives au contenu (insultes, xnophobie, pdophilie, ).
Les infractions relatives la proprit intellectuelle (musique, vido, logiciel, ).
Les infr
Les proies, utilisatrices des rseaux de tlcommunications, sont multiples : le simpparticulier, les enfants, les organismes, les entreprises et les Etats. Dailleurs les tats ont
pris conscience de ce flau et adaptent leur politique de
Face ce tableau plutt noir, un lment est plutt positif, malgr le pseudo anonymat
peru par certains dlinquants, les systmes dinformation et les te
g
indis
uvre ces rservoirs !
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
9/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
La scurit des SI : Effet Marketing ou Rel Besoin?
Comme nous lavons vu prcdemment, les systmes
dinformation sont devenus un des lments nvralgiques
dans le fonctionnement et la performance des divers
organismes (Entreprises, administrations, ). De ce fait, en
cas de dfaillance totale ou mme partielle le fonctionnement
de lorganisme sera fortement perturb.
De plus, le systme dinformation renferme des donnes
prcieuses, certaines de ces donnes sont propres lentreprise, dautres concernent des
tiers comme les clients, les partenaires, Ainsi, la perte ou laltration de ces donnes
peut constituer un prjudice parfois fatal. En complment, dans un contexte de plus en
plus concurrentiel, linformation reprsente une valeur et donc une convoitise. Cesdonnes peuvent tre drobes sans que personne sen aperoive, mme postriori,
la diffrence dun vol dun porte monnaie par exemple.
Imaginez les consquences si un concurrent pouvait accder, en toute discrtion, aux
donnes de la politique tarifaire dune entreprise. Malheureusement ce type de situation
nest pas de la fiction !
Compte tenu de lenjeu conomique et financier, cette forme de criminalit sest
dveloppe ces dernires annes, tel point que pour certaine organisation mafieuse,
cette opportunit devient plus rentable que le commerce de la drogue. Sur lchelle de la
maturit, ce type de criminalit est lge de ladolescence. Outre les supports actuels,lessor prochain de lultra-mobilit, la convergence de la voix, limage, de la domotique, les
puces radio frquence, les nanotechnologies, offrent un terreau prolifique.
Ainsi, pour les entreprises et organismes, petites ou grandes, prendre en compte ces
risques notoires en perptuelle volution, est donc devenu une ncessit. Cest une
question sinon de survie, au moins defficience.
Llaboration dune politique de scurit est une obligation. Mais cette laboration ne doit
pas rester un alibi pour se donner bonne conscience. Lobjectif rside dans la pertinence
et la mise en pratique de processus orients Scurit du SI. C'est--dire appliquer et faireappliquer une politique scurit en phase avec le contexte de lorganisme.
Les dfaillances en matire de scurit dun systme (cela est vrai quelque soit le
domaine), rsultent de la conjonction simultane ou spare de deux facteurs :
1. Lerreur humaine quelle soit volontaire ou non.
2. Les faiblesses du systme sous forme danomalies ou de dfauts dentretien.
Par analogie, on peut transposer ce constat, dans le domaine de la scurit routire, o
laccident peut tre caus par :
1. linattention, le laxisme, lindiscipline ou lincomptence du chauffeur.
2. le dfaut du vhicule suite une anomalie, une ngligence dentretien, ou du
mauvais tat de la route ou de la signalisation.
Enjuillet 2008, une carte
rseau dfectueuse du
systme de la tour de
contrle a engendr la
fermeture temporaire de
laroportdeDublin.
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 9
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
10/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 10
Noubl
victime
utre chauffeur que lon a crois au mauvais
me ne
nique pour empcher les
it tre
Une politique de scurisation doit associer
face des risques et aux organismes qui sont en
ions pas que, sur la route, on peut tre
dun accident cause de lerreur dun
a
moment au mauvais endroit. En matire de
scurit des Systmes dInformation, on peutgalement tre une victime de la ngligence
dautrui !
Contrairement aux ides reues, la scurisation
dun systme dinformation dun organis
consiste pas mettre uniquement en uvre une forteresse tech
assaillants externes dy pntrer. Si cela est forcement ncessaire, elle nest pas
suffisante car 80% des problmes de scurit des systmes dinformation proviennent de
lintrieur des organismes. Paradoxalement, le maillon faible en terme de scurit
informatique, est lhomme.
En matire de Scurit, le risque zro nexiste pas et aucune protection nest infaillible.
Lobjectif de la scurisation est donc la prise de conscience du risque, son valuation et la
mise en uvre de parades pour le minimiser.
Objectifs
Il convient de rappeler les cinq objectifs de la scurit des systmes dinformation :
lauthentification, permettant de vrifier quune entit est bien celle quelle prtendtre
l'intgrit, c'est--dire garantir que les donnes sont bien celles qu'on cro
la confidentialit, consistant assurer que seules les entits autorises aient
accs aux ressources
la non rpudiation, permettant dviter une entit de pouvoir nier avoir pris part
une action
la disponibilit et la continuit de service, permettant de maintenir le bon
fonctionnement des systmes
sensibilisation, rigueur, technique, organisation,
procdures, surveillance, ...
Une politique de scurit nest jamais dfinitive
perptuelle volution.
La scurisation dun systme dinformation est
donc indispensable pour la protection dupatrimoine et de limage dun organisme. La
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
11/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
scurisation des systmes dinformation consis
ncessaires contre les dommagessubis ou cau
de lacte volontaire, involontaire ou malveillant du
lorganisme.
Menaces et Modes Opratoires
En matir
te mettre en place les protections
ss par loutil informatique et dcoulant
n individu, quil soit externe ou interne
e de scurit des Systme dInformation, on dnombre sept menaces. Trois
tantes :
Dgradation de limage de marque.
urnement dactivit via les technologies de lInformation et de la
lisation
ire
de plus en plus nombreux avec une forte
arnaques), Scam, Intrusions, Piratage, Typosquatting,
dans les pages suivantes.
r les systmes dinformation comme
it Sun Tzu, philosophe chinois du Vme sicle Av JC, pour
et ses intentions ventuelles.
r quelques ennemis potentiels :
ion qui agit des fins pcuniaires ou idologiques :
pes terroristes.
ent conomique.
menaces concernent directement linformation :
Perte et destruction de donnes.
Modification de donnes.
Interception de donnes (vol et espionnage).
La quatrime menace concerne la continuit des process :
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 11
Indisponibilit des systmes.
Les trois menaces suivantes sont souvent oublies mais sont tout aussi impor
Dans9cassur10,lapertetotale des donnes
entrane la fermeture de
lentreprise.
Dto
communication.
Sanctions juridiques pour dfaut de protection de donnes des tiers ou uti
prohibe (mme involontaire) des technologies, par les membres dune entreprise.
Ces menaces sont gnres par une multitude de modes opratoires. Un mode oprato
peut dailleurs engendrer plusieurs menaces simultanment.
Les vecteurs opratoires de ces menaces sont
progression ces dernires annes. Virus, Spyware, Botnets, Troyens, Vers, Hoax,
Phishing, Ingnierie sociale (
Dfaillance, Incendies, Catastrophe naturelles, Mauvaise utilisation, en sont quelques
aperus dont certains seront dtaills
Les ennemis
On compare souvent la lutte contre la malveillance su
une guerre. Et comme le disa
gagner une bataille, il faut bien connaitre son ennemi
Concernant les systmes dinformation, on peut liste
Le pirate ou lesp
o Organisations criminelles, Mafias, Grou
o Organisations tatiques.o Socits spcialiss dans le renseignem
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
12/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Le pirate ludique qui va uvrer par plaisir intellectuel
Les Scripts Kiddies ou pirates dbutants, souvent des adolescents, qui vont tester
des attaques quils ont dcouvert par exemple sur internet
Lemploy mcontent de ne pas avoir obtenu ce quil voulait
s informations.
ues, Manipuler.
ource, Saboter les donnes o
stme pou
n autre systme.
Dans le cadre dun organisme, nous pouvons cartographier les attaques ou modes
trusion, rebond et propagation.
Leurs objectifs sont multiples :
Dsinformer ou Dstabiliser, Rcuprer de
Frauder, mettre en uvre des arnaq
Empcher laccs une ress u les systmes.
r rebondir et attaquer Prendre le contrle dun systme, Utiliser un sy
u
Les types dattaques
opratoires en six principales familles :
Pannes, Accidents, catastrophe naturelles, vol de ressources matrielles.
Mauvaise utilisation ou malveillance des employs.
Manipulation des employs par ingnierie sociale.
Code malicieux.
In
Accs du contenu illicites.
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 12
Mauvaise utilisation
Malveillance
Ingnierie socialernaque, Manipulation)
hes Naturelles
ions, vers
Catastrop
Codes malicieux :Keylogger, botnets, sniffer,
(A
Virus, Spyware, Troyens,
Intrus
Rebond, propagation
Donnes
Web : Contenu illicites
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
13/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 13
Lhomme : le maillon faible
Lvolution et la mise en place de solutions techniques
de scurit rendent la tche des pirates de plus en plus
complexe pour pntrer dans les systmes
dinformation. Ainsi, il est plus simple pour eux de
ystme dinformation, de
afin que cet utilisateur
irement contourner les
appelle
ous pouvons laborer la meilleure politique de scurit, en terme technique,
organisationnelle, si les utilisateurs sont ngligents et non sensibiliss aux risques, notre
ffondre.
aque, qui consiste manipuler les personnes afin
e court-circuiter les dispositifs de scurit. Lingnierie sociale utilise des prdispositions
moindre effort,
sport,
ychologiques de la nature humaine vis--vis de lautorit :
lit ), la sympathie (compassion, pointshrence (base sur un langage commun)
Mode dattaque
La mise en uvre dune technique dingnierie sociale ncessite trois lments :
1. Une phase de renseignement effectue par lattaquant pour identifier et cerner
langle dattaque de la ou les victimes. Cette phase est souvent facilite par la
victime elle-mme (blog, site web, interview dans la presse,).
2. Lusurpation didentit o lattaquant se fait passer auprs de la victime pour une
autre personne ou entit (connue ou identifie par la victime).
3. La manipulation elle-mme en usant les leviers psychologiques : Manque
daffection, bons sentiments, peur, go, appt du gain, penchants spcifiques,
Diffrentes techniques
La phase dusurpation didentit est mise en uvre par une prise de contact par divers
moyens : tlphone, rencontre directe ou par mail, notamment laide du SPAM.
Le SPAM, ou envoi massif de courriers indsirables, prsente des contenus trs varisprincipalement pour des sollicitations commerciales. Au del de laspect qualitatif des
solliciter un utilisateur de ce s
le manipuler (ou larnaquer)
puisse laider involonta
dispositifs de scurit. Cest ce que lon
lIngnierie sociale.
N
politique de scurit se
Lingnierie sociale est donc lart de larn
d
humaines qui sont :
les attitudes naturelles comme le laxisme, le choix du
lattirance naturelle telle que les jeux, le charme, le
les tendances ps
(intimidation, dangers, culpabila cocommuns, ), la rciprocit,
,
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
14/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
produits proposs, cela constitue une
vritable problmatique dengorgement des
erveurs et messagerie et des boites aux
lettres. La Facture est estime
milliard d. Le SPAM est aussi ule cheminement de code malic
phase de prise de contact dans
sociale. Les techniques les plus
pour contacter les utilisateurs futur
sont varis. Voici quelques modes
e Phishing. A travers un e-mail dun faux
ifi, afin de lui drober son identifiant et mot de passe.
Cette technique est trs prise pour dtourner des
falsifi est remplac par un faux serveur vocal. On parle ici
(contre
ant
ureux gagnant une loterie.
appelle
premier rempart
dingnierie sociale, cherchent obtenir le mot de passe dun
tification.
ujourdhui, lutilisation dun login (identifiant) et mot de passe est encore le systme
25%
23% 22%s 20%plus de 10
tilis dansieux et la
lingnierie
utilises,
s victimes,
:
0%
5%
10%
15%
USA Chine Coredusud
10%
L
expditeur (usurpation de marque, par
exemple une banque) lobjectif est de proposer au destinataire un lien hypertexte pour
lemmener vers un site web fals
Top3:ProvenancedesSPAM
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 14
sommes par virement.
Depuis peu, cette technique sadapte puisque le site web
de Vishing (Contraction du VoIP et Phishing).
Le Scam connu sous la dnomination de SPAM Nigria :
le but est dextorquer des fonds en faisant miroiter delargent. Par exemple une demande daide
rcompense) au rapatriement de plusieurs millions deuros ou une notification annon
Un grant dun cybercaf
Camerounais, responsable
dun rseau de SCAM est
interpell en 2006 aprs les
plaintes de plusieurs victimes
franaises, pour un prjudice
de
500000
.
que vous tes lhe
Dans ces cas, lattaquant va recruter un deuxime profil de victime, ce que lon
des mules, pour rpondre une problmatique : Comment rcuprer les fonds
illgalement acquis par phishing, scam, ou autre en brouillant les pistes dune ventuelle
enqute ? A travers du SPAM, lattaquant va proposer des jobs des internautescrdules (les mules), pour servir dintermdiaire des flux financiers contre commission.
Il sagit l darnaques plusieurs tages , o leurs auteurs font preuve de beaucoupdingniosit.
Le Mot de Passe: le
Trs souvent, les auteurs
utilisateur. Ce ssame lui permettra de pntrer dans le systme dinformation.
Effectivement, laccs un systme dinformation requiert une authen
A
dauthentification plus rpandu. Le mot de passe revt donc une dimension particulire en
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
15/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
matire de scurit. De fait, il existe des techn
dcouvrir (ou cracker) un mot de passe :
Attaque par force brute : Tester toutes
Attaque par dictionnaire : Tester descommun et nom propre).
Keylogger programme malicieux qui en
Sniffer programme malicieux qui coute
Ainsi, le canal dchange par lequel transite les
iques et outils permettant de drober ,
les combinaisons possibles.
mots et combinaisons de mots usuels (nom
registre les touches saisies sur un clavier.
les transmissions dun rseau.
mots de
asse, doit tre scuris (crypt) et le contexte de
aisie garanti (antivirus contre les keylogger). Les trois
sont :
minuscules,). Eviter de
d
d de
du
s m
M
Les attaquants exploitent le ma
) :
n place des procdures notamment pour :
o Lidentification et la vrification des interlocuteurs sollicitant un utilisateur
(viter la confiance spontane).
dtonnement) vers les suprieurs hirarchiques.
Dautre part, la mise en place de solutions de filtrage demails ou Antispam devient
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 15
p
s
rgles importantes de gestion dun mot de passe
Complexit : nombre de caractres lev,
caractres tendus (chiffres, signes, majuscules,
choisir le login, le nom,
un proche), un mot l'eprnom (personnel ou
cours ou 'une anne
Changement rgulier
Utilisation de plusieur
oyens de Prvention
nvers, un mot suivi de l'anne en
naissance,
mot de passe.
ots de passe selon le niveau de confidentialit voulu.
nque de connaissances des utilisateurs pour contourner
les dispositifs de scurit. Il faut donc vis--vis de lensemble des collaborateurs dun
organisme (employs, stagiaires, sous traitant,
Les sensibiliser et les former vis--vis des risques
et enjeux.
Mettre en place une Charte dutilisation, rglement
intrieur de scurit qui dfinit les Droits et
Devoirs vis--vis de lutilisation du systme
En 2008, seulement 38% desentreprises communiquent sur
lascurit.
50 % dentreprises dclarentdisposerdunechartescurit.
dinformation. Mettre e
o Faire des comptes-rendus (
o
indispensable au sein des entreprises et mme au niveau des particuliers. Elles
permettent dune part de bloquer souvent les sollicitations malveillantes mais galement
dviter lengorgement de la messagerie.
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
16/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 16
Les codes malicieux : Vritable pandmie
La problmatique des codes malicieux, terme gnrique regroupant les logiciels de type
virus, spyware, cheval de Troie et autres, est connue de tous. Linscurit informatique est
souvent associe Virus. Les codes malicieux sont des programmes logiciels dont le but
dangereux.
es codes malicieux sattaquent toutes les
On peut citer divers types de codes malicieux :
olontaire de la victime (e-mail, pop-up).
f.
n r
stme.
ea .
e
utilisation des possibilits de scripts applicatifs (Word, Excel, ).code malicieux sur un systme
i auparavant lobjectif des crateurs de codes malicieux tait de relever des dfis
rendre le contrle sans que leur propritaire sen
aperoive. On dit que ces ordinateurs sont alors des zombies.
est de nuire. Il sagit l du risque premier en terme dattaque. Leur nombre a
considrablement augment ces dernires annes et ils sont de plus en plus
L
plates formes systmes (Windows, Linux, Mac
OS, ) ainsi que les PDA (agendas
lectroniques), Smartphones (tlphones
portables), consoles de jeux,
Autre tendance, sur le plan technique, lesnouveaux logiciels malicieux sont de plus en
plus polymorphes, c'est--dire qu'ils changent
leur code chaque fois quils sont activs
(excuts), ce qui rend la lutte plus difficile.
Le no
malvei
Plus d
font
mbre dun millions de logicielsllantsatdpassen2008
e 3200 nouveaux virus ou variantesleurapparitionchaquemois.
(F-Secure 2008)
dattaques virales lors du 1er
e2005(RapportIBM):
ncesgouvernementales:50millions
eurindustriel:36millions
Nombre
semestr
Age
Sect
Secteurfinancier :34millions
Types de codes malicieux :
Virus : la propagation utilise la complicit inv Vers : la propagation est autonome via rseau (sans action dun utilisateur).
Troyen (cheval de Troie) qui dissimule son aspect nocif en prenant laspect
extrieur dun programme inoffensif ou attracti
Backdoor qui installe une porte drobe, permetta
dans un sy
t un attaquant de pntre
Sniffers, systme dcoute des communications rs
Keyloggers, systme enregistreur (logiciel ou matri
Bombes logiques qui se dclenchent sur vnement
Virus macro :
u
l) des touches clavier.
particulier (anniversaire).
RootKit qui permet de maintenir la prsence dun
compromis par lutilisation de techniques de furtivit (cacher des processus,
fichiers, clef de registre, ).
Hoax qui est un canular avec pour objectif lengorgement ou la dsinformation.
S
techniques, de semer le trouble, dsormais leur motivation est tout autre. Le but est de
gagner de largent . Les botnets (rseaux de robots) en sont de bons exemples. Aprs
avoir contamin des milliers ou centaines de milliers dordinateurs (bots), lattaquant (le
gardien des bots ou botmaster) peut en p
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
17/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Ainsi, lattaquant utilise
saturer des sites web (dni de service) en concentrant des milliers de sollicitations
t ont t rendus
ls
u site de concurrents ou de
t
Les spywares sont des programmes chargs de recueillir des informations sur l'utilisateur
nt installs. On trouve trois types de spywares :
(saisie des URL, Mots-cls,).
). Dailleurs
logiciels que lon accepte
nt
de
cette arme de zombies, vritable force de frappe pour :
simultanes.
envoyer des millions de courriers de type SPAM, phishing. fouiller et drober le contenu des ordinateurs zombies.
On assiste donc
du cyber racket : des sites Interne
inaccessibles pendant plusieurs jours car i
de payer une ranon.
la location de Botnet pour lenvoie de spam, p
des denis de service d
En aout 2008, lesautoritsnerlandaises
ont arrt un
botmaster de 19 ans
l
Shadow
machines
qui tait a tte du
botnet
contrlant plus de
100000
zombies.
avaient refus
our procder
lespionnage industriel, et mme des guerres entre gangs maitrisan
Espiogiciel ou spyware :
des Botnets !
de l'ordinateur sur lequel ils so
Commerciaux : Profilage des internautes
Affichage de bannires publicitaires.
Mouchard : Rcupration de donnes personnelles.
Linstallation des spywares seffectue gnralement en mme
temps que dautres logiciels (freewares, sharewares, 33% de tous les
Windows, sont caus
pardesspywares.
on/OCA,
disfonctionnements
des applicationscette installation nest pas forcment illgale car elle est stipule
dans conditions dutilisation des
aprs les avoir lu consciencieusement ! Mais les spywares peuve
tre illgaux selon la nature des informations trackes . (MS Wats2004
Protection et Prvention
La protection contre les codes malicieux passe par la mise en place de suites de scurit
intgrant antivirus, antispyware, antirootkit, parefeu personnel (pour surveiller les
changes entre lordinateur et lextrieur). Pour contrer lvolution permanente des codes
malicieux, il est vital de souscrire aux mises jour temps rel de ces suites
curit.s
Il faut nanmoins tre conscient, que cela ne constitue pas une protection infaillible. Etre
vigilant avec les sites que lon consulte, le contenu des e-mails que lon ouvre, les logiciels
que lon installe, les supports dchange que lon utilise (cl usb, ), constitue un premier
niveau de prvention
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 17
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
18/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Vulnrabilit et Intrusion : le vol ltalage
Une intrusion dans le systme dinformation correspond laccs non autoris une
prise ou un rseau wifi,eur.
Cette notion dautorisation est dfinie par le responsable du SI et
partie du systme dinformation (un employ
r des vulnrabilits ou des failles dun systme ou dune
x, utiliser lingnierie
multiples pour leur auteur : Utiliser le SI pour des attaques
s de jeux,
e Rseau,
it par le code pnal
m i a s
s
ions, sont
s (logiques et physiques), Paramtrage limi
dapprobation ou refus des ressources, isolation du rseau sans fil, ).
Mise jour des systmes (logiciel et matriel) contre les failles et vulnrabilits.
des fichiers de trace (log)o Outil de dtection de changement de contenu de site web
ressource logique. Par exemple, pntrer dans un rseau dentreparcourir et accder aux donnes dun ordinateur, dun serv
U
protg,
i
m
p
n ordinateur non
connect
nternet subit en
oyenne100attaquesarjour.
sentend sur tout ou
peut tre autoris accder certaines fonctions du SI et pas
dautres).
Ce nest pas parce que le SI nest pas, ou mal protg, que cela
re un droit ou une excuse dinconf trusion. Nanmoins, un SI mal
protg est sujet des tentatives et tentations dintrusions.
Les procds sont divers : profite
application, de mauvais paramtrages, utiliser des codes malicieu
sociale pour la rcupration de mots de passe, ...
Les intrusions ont des objectifs
par rebond (utilisation dun SI tiers pirat pour attaquer la cible voulue), Dfiguration de
site Web, Altrations ou vols de donnes (en forte croissance).
Tous les systmes sont concerns : Ordinateurs, tlphones portables, console
ments rseaux, Les intrusion touchent aussi bien les couches matrielles qul
Systmes ou Application.
Du point de vue juridique, en France, le Dlit dintrusion est pun
(L.323-1) de 1 an de prison et 15 000 damende. Cette peine est
ans de prison + 45 000 ) en cas daltration, suppression de donne
Protection et prvention
Les lments de prvention et protection en matire dintrus
ultipl e p r troi (3
(L.323-3).
:
Restriction des acc tatif.
Identification des utilisateurs (mot de passe, certificat lectronique, biomtie,). Filtrage et validation des changes : Firewall.
Infrastructure rseau compartimente (pour limiter la propagation).
Protection des rseaux sans fil (activation des systmes de scurisation basique,
liste
Systmes de dtection :
o IDS / IPS : Dtection automatique dintrusions via analyse des changes
o Pot de miel/ Honeypot : attirer les intrus vers des leurres pour les identifier
o Analyse
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 18
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
19/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
La protection de linformation
La protection de linformation est une des composantes majeures de la scurit dessystmes dInformation dans la lutte contre la perte, laltratio
malveillance ou autre) et le vol de linformation. On a deux types din
Linformation Secret Dfense dont la protection est rgie p
Linformation Confidentielle lie des secrets ou la disc
n des donnes (par
formations sensibles :
ar
r fe ne
a scurit de
ond lors
dchanges de donnes). Les solutions sont bases sur lutilisation de modles provenant
ents statistiques. Par exemple
s.
La redondance de systmes : Fail Over, Load Balancing, Stockage RAID.
de malveillance.
des peuples. Cest une exigence qui remonte la nuit des
les
mi
une x
quso
la loi.
tion pro ssion lle
rt et la
(en gnral rgie contractuellement).
La protection de linformation est assure par la suret dune p
linformation dautre part.
Information sensible
SURETE SECURITEScurisation contre lesmalveillances
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 19
La suret de linformation
La suret de linformation consiste protger la donne contre les perturbations ne
provenant pas dactes de malveillance (les pannes, dgradations, bruit de f
de lanalyse de comportem
La thorie des codes pour la dtection et / ou la correction derreur
La scurit de linformation
La scurit de linformation consiste protger la donne contre les actes
Lobjectif est dassurer lintgrit, lauthentification, la non rpudiation et surtout la
confidentialit de linformation.
Cet aspect a influenc lhistoire
temps, en rponse aux besoins dchanger en toute discrtion pour les gouvernants,
litaires, les diplomates, les bandits ou les amants passionns. On assiste depuis lors,
e poursuite entre ceux qui laborent les techniques de dissimulation et ceucours
i tentent de les briser , les cryptanalystes. En matire de scurisation, deux procdsnt disponibles.
COMSECTRANSEC Cryptolographie
Scurisation contreles perturbations
Pannes
Dgradat ion
Bruit de fond
Stganographie
Scurisation de latransmission :
Scurisation de lacommunication
Transposition
Substitution
Chiffre
Code
Message Brouill
Les lments du messagesont changs
les lettr
Changeles mots
les lettres du message sredistribues (changemelocalisation : anagramme)
on tnt de
Changees
Message cach
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
20/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
La scurisation de la communication (COMSEC) : La donne
est transmise, mais incomprhensible. M
information (illisible) est communique; ce qui est en soit
j une information : le cryptanalyste sait quil ne sait pas !
cryptanalyste ne sait pas quil ne sait pas. La technique
dissimuler une
Pour le COMSEC, la technique utilise est la cryptologie, permettant de crypter ou
chiffrer des messages en les rendant incomprhensibles. Laction inverse, est ledchiffrement. On parlera de dcryptage pour le dchiffrement illgitime.
ocds fiables
hiffrement asymtrique
respectivement de chiffrer et dchiffrer (Exemple Algorithme RSA). Si ce procdsente linconvnient dtre trs lent.
t la non-rpudiation des transactions.
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 20
ais on sait quune
d
La scurisation des transmissions (TRANSEC) : La donne
et la transmission de celle-ci sont dissimiles : le
ChiffrementdeCsar:Il sagit dun des Chiffrements
les plus anciens. Il tait utilis
lettres de lalphabet. Par
dcalagede3
parJules
Csar.
Le
Principe
:
Substituer un caractre par un
autre via un dcalage des
exempleavecunutilise est la stganographie qui permet sur un support(la cl), veni, vidi, vici
devientYHQL,YLGL,YLFL .anodin dont lchange ne dclenche pas de soupon (fichier
Image, Fichier Vido, Fichiers son, ) de
information.
Trois types dalgorithmes permettent de procder la cryptographie :
Chiffrement symtrique : Une mme cl (cl secrte) permet de chiffrer et
Message enClair
Message chiffr
Cryptogramme
Cl de chiffrement Cl de dchiffrement
Message enClairAlgorithme de
Chiffrement
Algorithme de
Dchiffrement
Cryptanalyse :
dchiffrer (exemple chiffrement de Csar). Il sagit en gnral de pr
et rapides mais ncessitant un change scuris de la cl.
: un couple de cl : publique et prive permetC
rsout le problme dchange de cl, il pr
Chiffrement hybride : il sagit dun mixte des deux procds prcdant en
combinant les avantages de chacun (exemple le SSL pour protger les transactions
financire sur Internet).
Aujourdhui la cryptographie est un lment essentiel dans la scurisation des Systmes
dInformation. Elle permet :
La confidentialit des donnes sensibles qui sont stockes ou changes.
Lauthentification des ressources (signature lectronique, certificats numriques,
)
Lintgrit e
Dchiffrement illgitime
?!?
ExpditeurDestinataire
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
21/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Les as uespects juridiq
Les aspects lgaux et rglementaires ne doivent pas tre ngpo
s s e
re e m s
air
s
rusions : le vol ltalage
oi encadrant les e-mailing commerciaux
Proprit intellectuelle (loi du 11 mars 1957)
Lutilisation dune uvre de l'esprit (littraire, musical, artistique, logiciel). sans
consentement de son auteur relve de la contrefaon (300 K + 3 ans de prison).
Liberts individuelles (loi du 6 janvier 1978)
Toute collecte et stockage dinformation caractre personnel
est rglement avec une dclaration la CNIL. Linformatique
ne doit pas porter atteinte lidentit humaine, aux droits de
lhomme, aux liberts individuelles et publiques et la vie prive.
Contenus illicites
La diffusion de contenu (sur les rseaux de communication)
engage la responsabilit des diteurs et dans certaines
ent pour lorganisme si la
consultation provient de son Systme dInformation.
roduisant des lments techniques
tion, tre
ontre-attaques, qui seraient juridiquement
ligs dans le cadre de lascurit des systmes dinformation. Certes, il est ncessaire
conformer pour viter les risques de poursuites judiciaires mai
comme un lment de protection complmentaire. La lutte cont
par la sollicitation des forces de lordre et des autorits judic
adapts dans ce domaine ces dernires annes. Voici quelque
Intrusions dans un SI : voir chapitre Les vulnrabilits et int
ur les organismes de sy
il faut au si sy appuy r
la cyb rcri inalit pas e
es qui se sont fortement
lments considrer :
L
En France, la loi pour la confiance dans l'conomie numrique (LCEN) du 21 juin 2004
encadre lutilisation du e-mailling dans le cadre des emails non dsirs.
SanctionsPnales(Exemples):Falsificationdedocumentinformatique
:45K+3ansdeprison
Fraudemontique(viainformatique):de450 750
K+17ansdeprison
eceldedonnes(provenant
Escroquerie,usurpation
45K+de1andeprison
IntrusiondansunSI:
conditions les fournisseurs daccs et hbergeurs vis--vis de : R Latteinte la vie prive, La diffamation.
Lapologie et la provocation aux crimes et dlits,
Lincitation la discrimination, au suicide, la haine
dundlit):
350K+5ansdeprison
didentit:de350750K+de57ansdeprison
Voldedonnes:raciale, la violence,
Le Racisme, la Pdophilie, La Contrefaon (proprit intellectuelle) 45K+de3ansdeprison
Atteintesauxsecretdescorrespondances:La consultation de certains contenus (par exemple la pdophilie)
est passible de poursuites, notamm
En cas dinfraction ou de cyber agression , il ne faut pas
hsiter porter plainte en p
15K+de1andeprison
fiables qui aideront les autorits dans leur enqute. Dans la stratgie de scurisa
en mesure de collecter des empreintes numriques , des preuves, est primordial. Il nefaut surtout pas procder ses propres c
nfastes : Nul na le droit de se faire justice lui-mme !
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 21
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
22/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Concevoir des solutions scurises : Une ncessit
Gestion de lauthentification (Login/mot de passe, Cartes puce, Annuaires,
e,).
ry
isonnement (Firewall, Proxy, Reverse Proxy, DM
minimale, devrait tre une
dveloppement logiciel.uun vu pieux !
nti
nelles des clients. Il faut
Infrastructures scurises
Aujourdhui il existe de nombreuses solutions dans la protection et la prvention des
infrastructures techniques. Elles doivent rpondre une stratgie dfinie, en intgrant les
aspects suivants :
Primtre et Cloisonnement des rseaux.
Gestion de lauthentification, Goulets dtranglement.
Gestion du moindre privilge.
Confidentialit des flux.
Dtection, Traabilit, Supervision.
Parmi les solutions, on peut citer quelques exemples :
Infrastructure cls publiques, Biomtri
Protection des canaux de communication sensibles (VPN, C
Antivirus, Antispyware, Antirootkit,
Redondance des ressources critiques.
Paramtrage restrictif systmatique des Systmes.
ptage,).
Filtrage et Clo Z, NAT, ).
Dtection dintrusion (IDS, IPS), Pot de miel (leurres).
Journalisation (fichiers log), Monitoring des ressources.
Applications et systmes scuriss
Concevoir des applications scurises, c'est--dire fiables et
prsentant une surface dattaque
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 22
obsession pour les quipes deMalheureusement, cela reste encore souvent q
Si la notion de scurit est assez bien tabli dans lexploitation
informatique, cela est encore rare dans la conception logicielle
mme chez de grandes SSII ou diteurs de logiciels reconnus.
Alors que la scurit devrait tre une fonctionnalit part e
nglige face aux contraintes de dlais et aux exigences fonction
reconnaitre que des efforts considrables ont t raliss dans lapproche qualit logicielle
(grce aux normes et mthodologies), mais le volet scurit est encore le parent pauvre.
Pourtant, une application non scurise cote cher (correctif, image de marque, perte
re, elle est souvent
70 % des attaques destdessiteswebexploiten
failles de la couche
applicative et non des
couches systme ou
rseau.
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
23/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 23
dexplo
lappro
Les failles ou vulnrabilits applicatives que lon rencontre sont principalement :
e par une application en lui envoyant un
cripting (XSS) Insertion par lattaquant de code HTML ou java script
Ce code est excut dans le navigateur
lattaquant de commandes SQL via des entres
r une instruction SQL excute dans lapplication.
essource (matrielle, logicielle, rseau,).
exploitent les points faibles ngligs par les quipes de dveloppement :
ns inefficace ou inexistante).
durant toutes les phases dun projet, depuis
onception il faut procder une
s les essentielles :
voir lchec, limprobable et
er en mode scuris.
s les entres.
Interception et traitement des exceptions.
itation, ). Je suis navr de constater encore le peu de formations dispenses sur
che scurit applicative aux futurs concepteurs de logiciels.
Buffer Overflow : Excution de code pirat
volume de donnes suprieur celui attendu causant une modification du flux
dexcution.
Cross Site S
dans une page web fourni par un serveur.
client.
SQL Injection: Insertion par
applicatives pour modifie
Dni de Service : Saturation dune r
eC s failles,
la confiance injustifie dans les entres (validatio
le manque de protection des donnes (stockage ou change en clair).
les problmes de configurations (gestion des privilges).
le traitement des cas improbables.
cLa s urisation des applications doit intervenir
s spcifications jusqu la recette. Durant lade phase de canalyse scuritaire pour rduire les potentialits de failles ou vulnrabilits.
En termes de bonnes pratiques de la scurit applicative citon
rCont
chou
le systmatique des codes de retour pour pr
Contrle et Validation de toute
Excution avec le moins de privilges possibles.
Non stockage dinformations confidentielles en
clair Non affichage de messages trop explicites (qui
aideraient de potentiels pirates).
Contrle des capacits des ressources avant les
traitements complexes.
Gestion du transactionnel.
Pour illustrer ces propos, je vais mattarder sur une exprience rvlatrice qui mest
arrive lors de lun de mes cours sur la scurit applicative. Cet exemple fut un cas
fabuleux en terme pdagogique.
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
24/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Lorsque vous prsentez des tudiants, les diffrentes techniques dattaques dun site
Internet, il ne faut pas attendre trs longtemps pour les voir mettre en application ce que
valuer la
L. Aprs
de visualiser la liste demails de cet
ait fort
pu
faire quelques achats sur le compte de cet infortun lve !
tockageet affichage des mots de passe des utilisateurs en clair.
auraient pu
aster du
e ce que lon vient de prsenter
en place dune politique de sauvegarde.faible ).
physique (verrouillage et surveillance des locaux,
trique, ).
continuation, qui dfini la mobilisation et les actions faire
arantir au SI une continuation dactivit
r un retour la normale rapidement.
marche : le management de la scurit.
vous leur montrez. Effectivement, il y a quelques annes, un tudiant a voulu
rsistance dun intranet dune facult (dont je tairai le nom) de linjection SQ
men avoir inform, cet tudiant a prsent lensemble de la classe, son exploit .Outre la vulnrabilit sur linjection SQL, cette technique lui a permis de pntrer dans
lespace restreint du site avec les droits Administrateur. Ce statut donnait la possibilit
daccder la totalit des listes dlves avec toutes leurs coordonnes, et pire, leur mot
de passe daccs en clair. Comme la plupart des individus utilisent le mme mot de passe,
il a t facile en prenant un utilisateur au hasard (son email et son mot de passe),
daccder au webmail de son oprateur internet, et
utilisateur malheureux. Une analyse trs succincte a mis en vidence que cet utilisateur
avait un compte sur un clbre site de vente aux enchres. Sans faire le test, il t
parier que son accs ce site tait protg par le mme mot de passe. On aurait donc
Cet exemple est lillustration parfaite de trois graves fautes de conception en matire de
scurit dune application logicielle (en loccurrence lintranet) :
vulnrabilit linjection SQL.
chec en mode non scuris (hriter du statut administrateur lors dune carence
didentification, due lintrusion).
s
Ces trois fautes, mettaient en dfaut la scurit des informations prives sur les lves decette facult et leur patrimoine. On imagine aussi, que des lves hacker
changer leur convenance les notes de partiels ! Pour la petite histoire, aprs avoir mis
en garde mon tudiant quil tait passible du dlit dintrusion, il a signal au webm
site les failles dcouvertes. Il sest vu propos un stage pour scuriser le site intranet !
Systme dInformation scuris
Scuriser un systme dinformation, cest mettre en uvr
f(les in rastructures et les applications), mais cest aussi :
La mise La gestion des aspects humains (cf. Lhomme : le maillon
La protection de lenvironnement
dtection incendie, protection contre le vol, redondance lec
Le Plan de reprise et de
en cas dincidents ou de sinistres, pour g
(mme dgrade) et assure
Bref il sagit l de la politique de scurit du SI. Pour tre efficace, llaboration de cettepolitique et son suivi doit suivre une d
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 24
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
25/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 25
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 25
Management de la scurit : une vision globale
Le Management de la scurit consiste mettre en uvre et appliquer une politique de
Scurit du SI globale et cohrente et adapt lorganisme. Son application permet de :
faire tendre vers zro les risques engendrs ou subis par le Systme dinformation.
limiter la perte dexploitation.
rduire les risques de pnalits et sanctions pnales.
prserver limage de marque et la confiance des clients, partenaires,
focaliser les ressources internes sur le cur de mtier de lentreprise.
Ce processus de management de la scurit de linformation a un prix. Le prix de la
scurisation est fonction de lacceptance du cot du sinistre potentiel. Pour valuer ce
cot, il faut prendre en considration une multitude de paramtres dont certains peuvent
savrer difficilement valuables :
Cot de la scurisation : Cot des systmes de protection et de prvention.
Cot li la charge de travail pour la mise en uvre
Cot des pnalits et sanctions pnales.
ge et perte de confiance.
rs au gain que pourrait en tirer
surdimensionner la scurit, aurisq fameux adage
tr
sc it
No e
Des re
SI.
ISO 17799 : cest la plus utilise en matire de scurit informatique, elle dfinit les
dit,
et le suivi de la scurisation.
Cot des assurances.
Cot de la complexit induite des infrastructures.
Cot li aux contraintes subies par les utilisateurs.
Cot du sinistre : Cot des dgradations matrielles et immatrielles.
Cot dinvestigation (honoraires dexperts, diagnostic, ).
Cout de perte dexploitation.
Cot de rparation, rcupration et reprise.
Seulement55%desentreprisessont dotes dune Politique de
responsables sont
didentifier les
budgetsconsacrslascurit"
scuritdelinformation(PSI).
31% desincapables
(Clusif2008)
Cot de dgradation de limaPour aider optimiser linvestissement de la scurisation, il faut se rappeler que lon a une
bonne protection si les moyens dattaque sont suprieu
lassaillant. Il nest donc pas forcement ncessaire deue de dgrader la productivit de lorganisme. Il ne faut pas oublier le
op de scurit tue la scurit . Lenjeu majeur en termes de management de la
ur est donc didentifier les priorits et de trouver le bon quilibre.
rm s et Mthodes
pres et rfrentiels sont disponibles pour aider btir la politique de scurit du
x principales normes sont :Les deu
objectifs et recommandations concernant la Scurit de lInformation. Il sagit en fait dunrfrentiel pour laborer une politique de scurit, une analyse de risque, un au
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
26/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 26
Famille ISO
recommandati
uxquelles doit rpondre un SMSI (Systme de Management de la Scurit de
vec les normes cites ci-dessus.
p
rmet dvaluer les risques
polit
minimiser, c'est dire rendre acceptable le s risq
ologie consiste valuer pour chaque risque (li une men
que le risque surviennee de lorganisme et des mesures de scurit en place
quipements, solutions de prventions,humaines, ennemis potentiels,).
valuer la dfinition
et la mise en application de scurit du SI sur un
primtre donn (Entreprise, Direction, Service, ).
apacit assurer sa fonction), de robustesse
ens
de raction).
27000 : Cette famille propose des normes certifiantes, des normes de
ons et des normes sectorielles. En rsum, elle dfinit les exigences
a
lInformation). Elle repose sur la roue de Deming dit cycle PDCA (Plan, Do, Check, Act)
avec un ensemble dlments itratifs permettant un organisme :
i dtablir les objectifs et la polit que de scurit.
dappliquer cette politique.
de contrler latteinte des objectifs.
damliorer la politique de scurit.
Dautre part, il existe plusieurs mthodes (EBIOS, CRAMM,
MEHARI, OCTAVE, CALLIO, COBRA,) pour guider
lanalyse de risque, la mise en place de politique de
scurit ou daudit, en cohrence a
Lanalyse de risque
Lanalyse de risque est un processus pralable indispensable
it. Il pe
our tablir une politique de
par rapport au contextescurit ou procder un aud
de lentreprise.
Ainsi, partir de cette analyse, la mise en place dune
s diffrent
ique de scurit, sera de
ues pour lentreprise. En
synthse la mthod ace et unmode opratoire) :
La potentialit, c'est--dire la probabilit de loccurrenceen tenant compte du context(localisation, activit, enjeux commerciaux,de protection, organisation, comptences
Limpact, c'est--dire la gravit des consquences directes et indirectes, si lerisque se produisait en tenant compte des confinements, des palliatifs ou destransferts du risque qui pourrait rduire les consquences (sauvegardes, plans dereprise d'activit, assurances, ).
Laudit Scurit
Laudit consiste analyser et
v
dbranch, enferm dans un blockhaus
s gazmortels
e
a
p
G
d
S
Le seul systme informatique qui est
raiment sr est un systme teint et
ousterre,entourpardes
Il sagit dun Constat un instant T qui va valuer
les services de scurit en termes defficacit
(c
t des gardiens hautement pays et
rms. Mmedanscesconditions,jene
arieraispasmaviedessus.
ene Spafford, fondateur et directeuru Computer Operations, Audit and
ecurityTechnology
Laboratory.
(capacit rsister une action dinhibition) et de
mise sous contrle (capacit et rapidit dedtection de son dysfonctionnement et les moy
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
27/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Plan Stratgique de Scurit du SI dfinit la politique de Scurit
Le PSSI consiste laborer et dcrire le processus de mise en uvre de la scurisation
du systme dinformation en fonction de contexte et lenvironnement de lentreprise. Il
sagit dun processus itratif et continu face aux volutions de lorganisme dune part etes menaces et modes opratoires dautre part. Quelque soit lorgd
e
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 27
anisme, ce processus
idents, sans vision
locuteur clairement identifi ;
t jour ;
1), en rpondant un
otger et Pourquoi ? : Inventaire des actifs numriques, et Infrastructuresr ? : Inventaire des menaces et des modes opratoireses ? : Analyse des risques (potentialits, impacts)
e sauvegarde.
et Contrles, La Veille et Audit.
1
st trs important. Il ne doit pas tre gr au jour le jour, au gr des inc
globale. Le plan stratgique de scurit du SI doit :
tre sous la responsabilit dun inter
formalis sous forme de document e
valid par la Direction Gnrale ;
class confidentiel au sein de lorganisme.
Lapproche consiste laborer un SMSI (norme 2700
questionnement usuel. La dmarche itrative est la suivante :
- Quoi Pr- De Quoi les protge- Quels sont les Risqu- Comment Protger ?
Organisation, Mthodologie et Procdures.
Politique d
Protection et prvention des aspects humains.
Protection et prvention des ressources logiques.
Protection et prvention de lenvironnement physique.
Surveillances
Plan de reprise et de continuation.
Sans tre exhaustif, on peut synthtiser les actions de protection et prvention dun
organisme sur le schma ci-dessous.
Protection Physique(Vol, incendie, inondation, )
Anti-virus Anti-Spyware,
ids
Appliquer les Correctifs
mies tra
Firewall Compartimenter lerseau et les systmes
Dtecter les vulnrabilits Former et sensibiliser lesutilisateurs Charte dutilisation du SI
Consignes en casdattaque ou de doutes
Anti-rootk
IDS, Pot deAnalyse de
lces
Supervision, Veille,Surveillance
Scuriser et certifierles changes
Mise en uvre de procduresde scuritPlan de reprise et de continuit
Sauvegarde et protection dessupports Redondance des systmes
Classifier les donnes Protger des donnes Accs restrictifs
Donnes
Protger et isoler
les rseaux sans fil
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
28/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
De la Protection la Maitrise Stratgique de lInformation
La guerre de linformation
Comme nous lavons voqu en dbut de ce livre blanc,
lespace informationnel s'ajoute aux espaces terrestres,
maritimes et ariens, ncessitant un ajustement tactique
et c
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 28
s uritaire. Cela entre naturellement dans le champ
de lades comptences rgaliennes des Etats. Lobjectif
er guerre guerre de linformation, de la cyb , du
nomie,
ux divers profils, contours des menaces flous, champs
r dfense". Aujourdhui, lensemble des nations intgre cette
rmes et leur dfense nationale.
curit, cest donc prendre en
formation est une cible, un
estissement, il devient opportun de
linformation, o en parallle de laspect purement
dfensif, on sintressera aussi laspect offensif. Pour cela, au del des rfrentiels, des
bonnes pratiques, il est important de faire preuve dadaptabilit, de raisonnement
stratgique, de remettre parfois en cause des usages et des conventions, bref de faire
appel lintelligence. Ainsi, la dimension scuritaire doit trouver une consolidation et un
prolongement naturel vers lintelligence conomique.
Lintelligence conomique : Sinformer pour dcider et agir
LIntelligence Economique est lensemble des actions de recherche, de traitement et de
diffusion (en vue de son exploitation) de linformation utile aux acteurs conomiques, pour
amliorer la comptitivit et mieux se protger. Lutilisation stratgique de linformation est
au cur de lIntelligence Economique: La bonne information, au bon moment, la
bonne personne. Linformation doit tre obtenue lgalement (thique des affaires) et
alimenter un processus de collecte et danalyse bas sur lintelligence collective, en
prenant en compte la sous-information, la sur-information, la dsinformation.
cyber terrorisme , est de paralyser lco
administration ou le quotidien des citoyens. La difficultl
de dfense rside dans les caractristiques de ces
guerres lies la gopolitique : assaillants multiples
Avril 2007, cyber affrontemententre russes et estoniens suite
Tallin dun
mmorial de soldats sovitiques.
Rapidement, l'Estonie,asubiune
srie dattaques importantes
(dnideservice,virus).Lescibles:
me
les
appels
aux
urgences
(ambulances, incendies) sont
plus
lenlvement
sitesgouvernementaux,banques,
mdiasetorganisationpolitiques.
Ma
de bataille largies, dlais de raction rduits, attaque en rests indisponiblespendanttemps de paix, Ainsi, suite des attaques de "cyber duneheure.guerre" lOTAN a dcid de crer son premier centre de
formation pour la cybe
dimension et procde ainsi ladaptation de leurs a
La dimension dfensive et offensive.
Au niveau des Organismes et des Entreprises, manager la s
, car lincompte (entre autres) la protection de linformationut rentrer dans un processus damlioration etobjectif pour les agresseurs . Si lon ve
mieux, raisonner en termes defficacit et dinv
considrer linformation aussi comme une arme, et de sen servir en consquence. On
parlera alors de maitrise stratgique de
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
29/32
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
30/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 30
Conclusion : La Scurit, cest laffaire de tous !
La scurit est un des fondements de la gouvernance des systmes dinformation. La
issant les
ion des projets, en dveloppant des applications
c une vision stratgique en
oncordance avec le dispositif mtier de lorganisme. Mais la scurit sera efficiente si
systme dinformation est laffaire de tous.
les attitudes qui me
ublieras pas.
eras mais dtermin tu seras.
n synthtique, le processus de scurisation du
onscience
sation de
et manag par des individus avec
semble de lorganisme
formation, lasensibilisation et la veille continue.
Scurisation du systme dinformation est un processus itratif en quatre phases :
La Planification en sappuyant sur des normes et mthodes, en dfin
objectifs de scurit en adquation avec le mtier et en procdant une analyse de
risques.
La Mise en uvre en laborant un Plan Stratgique de scurisation des SI, en
intgrant la scurit dans la gest
scurises et en maitrisant linformation stratgique.
Le Contrle avec la supervision, le monitoring et la vrification laide daudits de
scurit et de tests dintrusions. LAmlioration continue.
Comme nous lavons vu, la scurit des systmes dinformation doit reposer sur un
responsable et son quipe. Ils doivent tre polyvalents ave
c
tous les acteurs de lorganisme sont conscients des risques et adaptent leurs
comportements et leurs savoir-faire avec un leitmotiv Protection de linformation . En
fait, au sein des organismes, la scurit du
Pour terminer la manire des dix commandements, jvoqueraiparaissent indispensables pour bien grer la scurit dun Systme dInformation :
1. Du temps pour la scurit, tu dgageras.
2. Sur une dmarche et une organisation structure, tu tappuieras.
3. Comme dernier rempart, la scurit tu concevras.
4. Sans complexifier le processus mtier, la scurit tu aligneras.
5. Ni dans la paranoa ni dans langlisme, tu tomberas.
6. Le mode de pense de lattaquant, tu adopteras.
7. Malgr la confiance, le contrle tu no
8. Humble tu rest9. De tes erreurs et de celles des autres, tu apprendras.
10. Linvitable tu refuseras, linattendu tu envisageras.
En conclusion, travers ce tour dhorizo
systme dinformation ne simprovise pas. Il repose dabord sur une prise de c
des hauts responsables des socits et organismes, et sur la sensibili
lensemble des acteurs. Ce processus doit tre confi
de relles comptences multi disciplinaires et une vision den
et de son environnement. Les facteurs de russites passent par la
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
31/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 31
Les entits et les offres de formations du Groupe 4
Groupe 4 est un groupe de formation spcialis dans le management de projet technique.Les formations "Scurit" sont prsentes dans les diffrentes entits :
1- 4IM et 4MM : Dans le cadre des coles en alternance Informatique-Management
(4IMM) et Multimdia-Management (4MM), le management de la scurit des SI est
vu travers des sessions ddies de sensibilisation et d'approfondissement sur les
Ddi la Formation Professionnelle Continue, Oplone
mois sur 10 mois (env 210 h) pour former des personnes en poste en entreprise
urit des SI) : c'est un
anne. Il vise
'information, et
2 dernires annes.
2- OploneRAPID-Training :
propose des formules adaptes (sur catalogue ou sur-mesure) rpondant aux
besoins et attentes des donneurs d'ordres. Les formules RAPID-Training se
dclinent sous forme de sminaires ou travers un programme de formation de
quelques jours (2 5 jours en inter-entreprises ou en intra-entreprise).
3- OploneSMART-Training: il s'agit d'un cursus de formation part-time de 3 jours par
voulant s'orienter ou se perfectionner dans le management de la scurit des SI
4- ISMP : Cursus CPTSSI (Chef de projet Transverse en Sc
cursus long de niveau BAC +5, en 9 mois avec un stage de fin d'
es Systmes dformer des experts et des managers en scurit d
amne aux mtiers :
Ingnieur scurit SI
Expert scurit SI
Consultant scurit SI
Responsable revue scurit SI Chef de projet Scurit SI
Responsable Scurit du SI
Le Groupe 4, c'est 100 % d'insertion professionnelle ds la fin de la formation
8/8/2019 Livre_Blanc - Scurit des Systmes dInformation
32/32
LivreBlancduGroupe4
ScuritdesSystmesdInformation
Sur la t
es infrastructures du site rsidences et restaurants universitaires, piscine,
installations sportives, Poste, parcs, mtro, lignes de bus, facilitent le quotidien sur
trente minutes du centre, Aix en Provence met votre disposition son activit
Groupe 4
Brun
Technop
Le
Rue Pau
13 013 - Ma
el : 04.91.95.53.32
mail : [email protected]
ww.groupe4.fr
echnople de Chteau-Gombert, deux pas des calanques et des rivages
mditerranens, le Groupe 4 ctoient Centrale Marseille, Polytech Marseille, ainsi
que les start up les plus innovantes du sud
L
place.
A quinze minutes du centre, Marseille, son centre ville et son Vieux-Port, offrent
toutes les opportunits de loisirs, quils soient sportifs, culturels,
Anocturne.
RENSEIGNEMENTS :
o DOUCENDE
ole de Chteau Gombert
s Baronnies, Bat A
l Langevin
rseille
T
E-
w