cours | Éts montréal - les enjeux de la sécurité informatique · 2014. 5. 6. · l’analyse de...

Les enjeux de la sécurité

informatique

1 École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

MGR850 – Hiver 2014

Hakima Ould-Slimane

Chargée de cours

Plan

• Motivations & contexte

• Quelques définitions

• Vulnérabilités – porte d’entrée

• Objectifs de la sécurité

• Analyse de risques

• Contre-mesures: traditionnelle vs. holistique

• Conclusion

2

MGR850 -É14

Motivations & Contexte

3

Source http://www.symantec.com/about/news/release/article.jsp?prid=20090910_01

MGR850 - É14

http://www.youtube.com/watch?v=FIV4W3HghKY

http://www.youtube.com/watch?v=FIV4W3HghKY

4


Source http://www.techcentral.ie/19456/cybercrime-booms-as-sophistication-rises

MGR850 – É14

5

…

…


MGR850 – É14

6


Source http://articles.latimes.com/2012/jul/25/business/la-fi-olympics-cybersecurity-20120726

MGR850 – É14

7


Source : http://www.zdnet.com/obama-cyber-attack-serious-threat-to-economy-national-security-7000001324/

MGR850 – É14

8


Source : http://spectrum.ieee.org/computing/networks/declarations-of-cyberwar/

MGR850 – É14

9


Source : http://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.html

http://www.techgeekandmore.com/category/solutions/

MGR850 – É14

http://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.htmlhttp://www.hotforsecurity.com/blog/zeus-malware-grabs-your-money-via-facebook-gmail-2628.html

Esprits criminels • C’est une question de préparation

– http://www.youtube.com/watch?v=9H07Hxl_ifQ

&feature=related

– http://www.youtube.com/watch?v=EC96jdaNY

Wo&feature=related

• Voitures de demain

– https://www.youtube.com/watch?v=oqe6S6m73

Zw

– http://www.youtube.com/watch?v=Uft7FB-g0jI

10

MGR850 - É14

http://www.washingtonpost.com/investigations/cyber-search-engine-exposes-vulnerabilities/2012/06/03/gJQAIK9KCV_story.htmlhttp://www.youtube.com/watch?v=9H07Hxl_ifQ&feature=relatedhttp://www.youtube.com/watch?v=9H07Hxl_ifQ&feature=relatedhttp://www.youtube.com/watch?v=EC96jdaNYWo&feature=relatedhttp://www.youtube.com/watch?v=EC96jdaNYWo&feature=relatedhttps://www.youtube.com/watch?v=oqe6S6m73Zwhttps://www.youtube.com/watch?v=oqe6S6m73Zwhttp://www.youtube.com/watch?v=Uft7FB-g0jIhttp://www.youtube.com/watch?v=Uft7FB-g0jIhttp://www.youtube.com/watch?v=Uft7FB-g0jI

• Traditionnellement, – Prouver ses compétences techniques

– Représailles envers un ancien employeur

– …

• Nouveaux motifs – $$$$ – Extorsion (déni de service vers un site populaire)

– $$$$ – Vol (carte de crédit, identité)

– $$$$ – Vol sur une grande échelle (transactions bancaires)

– $$$$ – Distribution de la publicité (SPAM)

– Atteinte à la réputation

– Sécurité nationale (marquer un point sur le plan politique, vol de

secrets militaires, cyberguerre, …)

– Moyen de protestation afin de promouvoir des fins politiques

(Hacktivism).

Motifs des attaques


11

MGR850 – É14

Qu’est ce que la sécurité informatique?

• Sécurité informatique consiste à protéger

– Les renseignements

– Les actifs

• Contre un large éventail de menaces

• Pour

– Assurer la continuité des activités,

– Minimiser les risques d'affaires

– Maximiser le retour sur investissement et les occasions

d'affaires.

Adapté de Norme ISO 17799:2005.

12

MGR850 – É14

• Base de données clients

– Vente et Marketing

• Base de données employés

– Ressources humaines

• Portail web

– Vente directe ou indirecte

• Code source d’une application

– Équipe de développement

• Base de données usagers

– Équipe des TI

Les actifs informationnels représentent l’ensemble des données et des

systèmes d’information nécessaires au bon déroulement d’une entreprise.

13

Qu’est-ce que les actifs informationnels?

MGR850 – É14

• Vulnérabilité

– Faille dans un actif ou dans une mesure de

sécurité qui peut être exploitée par une menace

(source ISO 27000 )

• NIST – National Vulnerability Database

(http://nvd.nist.gov/)

– CVE (http://cve.mitre.org/) : 53962 vulnérabilités

(8 janvier 2013) de type défauts logiciels.

14

Vulnérabilités

C’est autant de possibilités pour des attaques

MGR850 – É14

http://nvd.nist.gov/http://cve.mitre.org/

15

Vulnérabilités

• L'annonce d’une vulnérabilité est généralement suivie d'une

période de temps avant qu'un correctif ne soit disponible. C'est

la période du jour zéro.

• Attaque jour zéro (Zero-day)

– Exploite une vulnérabilité annoncée publiquement mais dont le

correctif n’existe pas encore

– Le danger est plus grand lorsqu’une attaque ou un exploit qui cible la

vulnérabilité existe dans la nature.

• Course contre la montre pour détecter et corriger les

vulnérabilités avant qu’elles soient exploitées mal-

intentionnellement

– http://www.zerodayinitiative.com/about/benefits/

MGR850 – H14

http://www.zerodayinitiative.com/about/benefits/

16

Vulnérabilités

Source: http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-

Vulnerabilities-Exploits-Patches-and-Security.aspx

MGR850 – H14

http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspxhttp://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/JOnline-Less-Than-Zero-vs-Zero-Day-An-Approach-to-Vulnerabilities-Exploits-Patches-and-Security.aspx

Trojan-Downloader: OSX/Flashback.I

• Trojan-Downloader: OSX/Flashback.I

– Category: Malware

– Type: Trojan-Downloader

– Platform: OSX (MAC)

– Navigateur web: Safari

• Mode opératoire

– Véhiculé par des applets Java malveillantes qui exploitent

la vulnérabilité CVE-2011-3544.

– Une fois en place, récupère un code depuis un serveur

distant et l’injecte dans Safari.

– Après cela, il peut modifier certaines pages web consultées

par l’utilisateur.

17

MGR850 – É14

18

Applet vulnerable

téléchargé

Exploit CVE-2011-3544

Autosuppression du malware si certaines

applications sont sur la machine de la victime

Site web compromis Machine MAC OSX Victime

• hardware_UUID

• Machine type

• Kernel Version

• Hardware type

• Logged User status

Site web malicieux

http: / /95.215.63.38/

http: / /95.215.63.38/counter /

%% encoded_data

Binary1, binary2, png

Installation

Téléchargement


SINON

MGR850 – É14

19

Infection

1er cas: Utilisateur saisi le mot de passe

• Création de 2 fichiers

• Insertion de point d’execution dans Safari

h t t p ://95.215.63.38/stat_d/

Machine MAC OSX Victime Site web malicieux http: / /95.215.63.38/

Stockage local de fichier png

h t t p ://95.215.63.38/stat_n/

succès

échec


MGR850 – É14

20

Infection

2eme cas : Pas de mot de passe

• Création de 2 fichiers

• Insertion de point d’execution dans toute application de l’utilisateur

h t t p ://95.215.63.38/stat_u/

Machine MAC OSX Victime Site web malicieux http: / /95.215.63.38/

Stockage local de fichier png

succès

Autosuppression du malware si certaines

applications sont sur la machine de la victime


SINON

MGR850 – É14

• Phase d’installation

– Le malware se supprime si l’un des chemins

d'accès suivants existe dans le système: • / Bibliothèque / Little Snitch

• / Developer / Applications / Xcode.app / Contents / MacOS / Xcode

• / Applications / VirusBarrier X6.app

• / Applications / iAntivirus / iAntiVirus.app

• / Applications / avast!. App

• / Applications / ClamXav.app

• / Applications / HTTPScoop.app

• / Applications / paquet Peeper.app

• Phase de téléchargement – Le malware se connecte à l'URL d’un site web malicieux, envoie certaines

données concernant la machine à infecter

• hardware_UUID, machine_architecture, kernel_version, architecture_of_malware_process,

current_hardware_type_of_system, is_user_daemon et le hachage MD5 de hardware_UUID

21


MGR850 – É14

– La réponse est compressée et chiffrée

• Binary 1 :composant principal du malware.

• Binary 2 : filtre qui va charger Binary 1 seulement dans un

processus ciblé pour éviter des problèmes d’incompatibilité et

d’éveiller les soupçons de l'utilisateur.

• Phase d’infection

– Affiche une boite de dialogue pour demander le mot de passe

– L’icone encadré en rouge est une image PNG téléchargée à partir du

serveur distant et qui sera stockée dans la machine victime.

22


MGR850 – H14

25

Source: http://oliviermougin.free.fr/WordB/?p=180


Le risque zéro en matière

de sécurité n’existe pas,

même pour MAC.

MGR850 – É14

http://oliviermougin.free.fr/WordB/?p=180

• Pour plus de details sur ce malware:

– http://oliviermougin.free.fr/WordB/?p=180

– http://www.f-secure.com/v-descs/trojan-

downloader_osx_flashback_i.shtml

– http://www.macgeneration.com/news/voir/239762/mal

ware-flashback-evolue-a-nouveau

26


MGR850 – É14

http://oliviermougin.free.fr/WordB/?p=180http://oliviermougin.free.fr/WordB/?p=180http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtmlhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveauhttp://www.macgeneration.com/news/voir/239762/malware-flashback-evolue-a-nouveau

Le trio du CID:

En anglais: CIA (Confidentiality, Integrity and Availability)

Confidentialité

Disponibilité

Intégrité

27

Les propriétés

Objectifs de la sécurité

MGR850 – É14

28

Confidentialité


• Menaces

– Surveillance du réseau

– Vol de fichiers

• Fichiers de mots de

passe

• Fichiers de données

– Espionnage

– Ingénierie sociale

• Contre-mesures

– Cryptographie

• Chiffrement

– Contrôle d’accès

• Mot de passe à usage

unique

• Biométrie

– Classification des actifs

– Formation du personnel

Propriété d’une donnée dont la diffusion doit être limitée

aux seules personnes ou entités autorisées.

MGR850 – É14

29

Intégrité


Propriété d’une donnée dont la valeur est conforme à

celle définie par son propriétaire.

• Menaces

– Attaques malicieuses

• Virus

• Bombes logiques

• Portes dérobées

– Erreurs humaines

• Contre-mesures – Cryptographie

• Authentification, signature

– Contrôle d’accès

• Mot de passe à usage unique

• Biométrie

– Système de détection d’intrusion


Si cette propriété n’est pas respectée pour certains actifs, cela peut

avoir des impacts sur la confidentialité d’autres actifs.

MGR850 – É14

30

Disponibilité


• Menaces

– Attaques malicieuses • Dénis-de-service

– Inondation

– Vulnérabilités logicielles

– Attaques accidentelles • Flashcrowd – Slashdot effect

– Pannes • Environnemental, logiciel,

matériel

• Contre-mesures

– Pare-feu

– Système de détection

d’intrusion


Propriété d'un système informatique capable d'assurer

ses fonctions sans interruption, délai ou dégradation,

au moment même où la sollicitation en est faite.

MGR850 – É14

http://en.wikipedia.org/wiki/Flash_Crowdhttp://fr.wikipedia.org/wiki/Slashdot

• Définir les besoins.

– Les actifs à protéger et leurs propriétaires.

• leurs valeurs? leurs criticités? leurs propriétés?

– Les menaces représentant des risques.

• les attaquants? leurs moyens? leurs motivations?

– Les objectifs à atteindre.

• Quelles sont les propriétés des actifs à protéger?

• Proposer une solution.

– Les contre-mesures à mettre en place.

• Évaluer les risques résiduels.

– Quelles sont les vulnérabilités toujours présentes.

– Leurs impacts sur les objectifs initiaux. 31

Analyse de risques

MGR850 – É14

Propriétaires

Contre-mesures

Actifs

Risques

Menaces Attaquants

désirant accéder à

représentant à

à

augmentant

désirant minimiser

tenant à

demandant

réduisant

Adapté de ISO/IEC 15408 – Common Criteria. 32

Analyse de risques Schématiquement

MGR850 – É14

Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux.

Si tu ignores ton ennemi et que tu te connais toi-même, tes

chances de perdre et de gagner seront égales.

Si tu ignores à la fois ton ennemi et toi-même,

tu ne compteras tes combats que par tes défaites.

Sun Tzu, approx. 4ième siècle av. JC

33

Analyse de risques Une vieille histoire

MGR850 – É14

Contre-mesures

• Approche traditionnelle

– Se basant sur le fait que les systèmes informatiques sont

intrinsèquement vulnérables,

– Les responsables des TI doivent mettre en place les

moyens de résister aux diverses menaces afin de protéger

les actifs de leurs entreprises.

• Approche holistique

– Attaquer le problème à la source en sécurisant les logiciels

34

MGR850 – É14

35

Approche traditionnelle

Veille technologique à la recherche des vulnérabilités. CERT , NIST, Virus Bulletin, Microsoft, Bugtraq…

• Déployer une infrastructure adéquate résistant aux attaques et assurant l’intégralité des actifs (et leurs propriétés).

– Prévention

• Contrôle d’accès

• Mise-à-jour des logiciels

• Pare-feu, systèmes de prévention d’intrusion (SPI)

– Détection

• Antivirus

• Systèmes de détection d’intrusion (SDI)

• Audit

– Réaction

• Pare-feu

Les objectifs techniques de la sécurité

MGR850 – É14

36

Approche traditionnelle … et les façons de les atteindre!

• Protéger le périmètre du réseau.

– Pare-feu, SDI, SPI

• Protéger les serveurs publics.

– Logiciels mis-à-jour régulièrement

– Zones démilitarisées (DMZ)

• Partitionner le réseau interne.

– Contrôle d’accès, pare-feu, SDI, SPI

• Protéger les serveurs internes et les usagers.

– Logiciels mis-à-jour régulièrement

– Antivirus

MGR850 – É14

37

Approche traditionnelle Mais l’enjeu est plus général !

• Il ne faut pas mélanger les besoins et les moyens utilisés

pour répondre à ces besoins.

– Quels sont les acteurs?

– Quels sont les actifs?

– Quels sont les objectifs?

– Quelles sont les règles de gestion à mettre en place?

– Quels sont les moyens opérationnels à mettre en place?

– …

MGR850 – É14

38


L’analyse de risque est à la base de cette activité

• Les politiques de sécurité sont des énoncés généraux dictés par

les cadres supérieurs décrivant le rôle de la sécurité au sein de

l’entreprise afin d’assurer les objectifs d’affaire.

• Pour mettre en œuvre ces politiques, une organisation doit être

mise en place.

– Définition des rôles, des responsabilités et des imputabilités

Politiques de sécurité

MGR850 – É14

39


• NIST –Département du commerce, É.-U. – SP 800-100 Information Security Handbook: A Guide for Managers

– SP 800-97 Draft, Guide to IEEE 802.11i: Robust Security Networks

– SP 800-94 Draft, Guide to Intrusion Detection and Prevention (IDP) Systems

– SP 800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals

– SP 800-41 Guidelines on Firewalls and Firewall Policy

• ISO – ISO/IEC 17799:2005(E) – Code of Practice for Information Security Management.

– ISO/IEC 21287:2002 – System Security Engineering – Capability Maturity Model.

• US-CERT – Software Engineering Institute – Defense in Depth: Foundations for Secure and Resilient IT Enterprises

– Advanced Information Assurance Handbook

• Amazon.ca – 26 111 livres sont proposés en utilisant les mots clé: Information Security

(9 janvier 2012).

• Google.ca – Ce que vous cherchez s’y trouve. Bonne chance!

L’information est disponible – même trop !

MGR850 – É14

40

Approche traditionnelle Mais le problème demeure …

• L’industrie de la sécurité

– En 2010, le chiffre d’affaire du marché mondial de la sécurité du réseau

était estimé a 7,54 milliards de dollars, Firme d’analystes IDC

• Constat

– L’approche traditionnelle sécurisant le périmètre du réseau ne semble pas

adéquate puisque nous avons toujours les mêmes problèmes.

– D’octobre 2011 à février 2012, plus de 50.000 cyber-attaques sur les

réseaux privés et publics ont été signalés au U.S. Department of

Homeland Security, avec 86 de ces attaques ayant lieu sur les réseaux

d'infrastructures essentielles.

• Raison

– La qualité des logiciels.

MGR850 – É14

41

Approche holistique • La sécurité des logiciels est donc critique!

– 50 % des vulnérabilités proviennent des erreurs de

conception.

– 50 % des vulnérabilités proviennent des erreurs

d’implémentation.

• Dépassement de mémoire et d’entier

• Concurrence critique

• Microsoft’s Trustworthy Computing Initiative

– Mémo de Bill Gates en janvier 2002 présente la nouvelle

approche de Microsoft de développer des logiciels sécurisés.

– Microsoft aurait dépensé plus de 300 millions USD.

– The Trusthworthy Computing Security Development

Lifecycle.

MGR850 – É14

42

Approche holistique

• Sécurité du logiciel – Robustesse

– Gestion du risque

• Actifs, menaces, objectifs, …

– Cycle de développement du logiciel

• Construire un logiciel robuste face aux

attaques

– Bases de connaissance

• Rassemblement, l'encapsulation et le

partage des connaissances de sécurité

qui peut être utilisé pour fournir une

base solide pour les pratiques de

sécurité des logiciels

MGR850 – É14

43

Approche holistique

• Intégration d’activités propres à la sécurité du logiciel dans le cycle du développement (en ordre d’efficacité – subjectif) – Code review, Risk analysis, Penetration testing, Security tests, Abuse

cases, Security requirements, Security operations

Specification

Use Cases

Architecture

Design

Test

Plans Code

Tests

Test Results

Feedback

Deployment

Adapté de Software Security by McGraw

•Risk analysis

•Abuse cases

•Security req.

•Risk analysis

•Risk-based

security tests

•Code review

(Tools)

•Risk analysis

•Penetration

testing

•Penetration

testing

•Security

operations

Cycle de développement du logiciel

MGR850 – H14

44

Conclusion

• Connaissez-vous vous-même.

– Déterminer les actifs qui doivent être protégés et leurs propriétés.

– Déterminer les objectifs à atteindre.

• Connaissez vos ennemis.

– Déterminer les menaces contre lesquelles ils doivent être protégés.

• Reposez-vous sur les épaules de géants.

– Veille technologique, base de connaissances.

– Principes, guides et règles connues.

Ne jamais dire: ceci est impossible, ils ne peuvent faire cela.

Jean-Marc Robert, ÉTS MGR850 - É14

cours | Éts montréal - les enjeux de la sécurité informatique · 2014. 5. 6. · l’analyse de...

Documents