SECURISATION DES SERVEURS WEB

Quels sont les risques ?

La réalité du Hacking

Les problématiques opérateurs

Les problématiques hébergeur

Retour d’expérience FrameIP

Conclusion

Les questions réponses

Dégradation de l’Image Cela montre des faiblesses sur son système d’information qui se répercute sur son image « globale ».

Se pose aussi la problématique de confiance des clients et des partenaires qui doutent aussi de la

confidentialité.

Risques pour la production Le fait d’altérer un service peut sérieusement porter préjudice sur la production jusqu’à la rendre nulle.

Risques financiers En corrélation avec les impacts précédents (Perte de production, image de marque,….)

Fuite et/ou vol d’information (90% provient de l’intérieur) Expertise métier, méthodologie, outils, plan, R&D…

Risques Stratégiques pour l’entreprise

Mise en péril de l’activité si l’entreprise dépend de son système d’information

Bilan sur la sécurité: Une protection absolue n’existe pas, néanmoins une sécurité adaptée permet de se prémunir d’un ensemble de

problématiques et/ou de maladresses, de décourager un nombre important d’attaques et de minimiser les

conséquences d’erreurs ou d’agressions

Lorsque la politique de sécurité est bien maitrisée,

on se tourne alors vers une politique de qualité montrant ainsi la maturité du SI et indirectement de l’entreprise

Quels sont les risques ?

50% des grandes entreprises ont été victimes de piratage depuis 2005

Certaines entreprises sont sanctionnées par leurs clients après un piratage pour leur négligence (ex: USA Avril

2010 : ~375 K€ d’amende vol d’une base de données contenant des informations sur leurs clients)

Sur les 2.400 administrateurs de la sécurité informatique interrogés aux États-Unis, au Royaume-Uni, en

France, en Allemagne et au Japon, 77 % admettent avoir perdu des données en 2010. La France fait à peine

mieux : 70 % des 450 entreprises interrogées auraient été touchées par une fuite de données.

Wikileaks : Depuis Août 2010, Julian Assange, le créateur du site, a divulgué plus de 400 000 documents

confidentiels concernant 68 gouvernements.

Bercy: Décembre 2010, 150 PC ont été infiltrés suite une attaque sur le Ministère de l’Economie et des Finances afin de récupérer des informations

sur le G20.

Etat belge : Février 2011, différentes attaques ont été menées par les Anonymous sur le site du gouvernement Belge.

Cdiscount: Un hacker attaque le serveur de Cdiscount en Septembre 2010, indisponibilité durant quelques heures…

Banque : Phishing

IRAN : Piratage d’une centrale nucléaire en IRAN - « Stuxnet » prise de contrôle de système industriel

Russie : Impunité pour les Hackers en Russie

Espagne : Un hacker a profité d’une faille sur la page d’accueil du site officiel de la présidence espagnole de l’Union européenne pour remplacer José

Luis Zapatero par Mr Bean.

La réalité du Hacking

Man in the Midle :

Interception de communication/data.

DNS Spoofing ou DNS Poisoning : Redirection des flux vers une cible définie.

Attaque BGP : Attaque DDOS en SYN Flood sur le port 179

Injection de route

Saturation des tables

Non respect de l’antispoofing : Permettant l’usurpation

Les problématiques opérateurs

Ingénierie sociale : Utilisation de la crédulité des utilisateurs pour leur soutirer des informations .

Exploitation de la RFC 2616 : Hypertext Transfer Protocol -- HTTP/1.1

Inspection protocolaire

Firewall nouvelle génération :

Inspection applicative.

Analyse comportementale : @IP, requête, URL.

Saturation des logs : Ralentir la réaction de défense.

Se cacher.

DOS/ DDOS : Déni de service en mode distribué

Zombie et Communauté.

Les problématiques hébergeur

FrameIP a toujours trouvé des failles

et les a classées par Criticité / Probabilité / Impact

3 modes d’audit sécurité chez FrameIP :

1. Découverte

2. Exploitation

3. Déni de service

Quelques exemples :

Opérateur national :

L’audit avait pour but de montrer les limites de l’étanchéité du protocole MPLS

sur un réseau opérateur national.

Ville - Problème de virtualisation De multiples serveurs critiques exposés et accessibles de l’extérieur , plus de 3000 PC analysés en 2

jours

Industriel international : Base de données oracle

Conseil Général : Suite à une infection, nettoyage de 3000 postes en 72 heures.

Entreprises : Audit LAN, Problème WIFI , Sécurité de la téléphonie sur IP

écoles : Relais SMTP, problématique de Spam et « blacklistage », protection contre certains étudiants…

Retour d’expérience FrameIP

La sécurité absolue n’existe pas

Conclusion