Download - Chapi Ii3 Sec

7/24/2019 Chapi Ii3 Sec

1/42

Cours: Scurit informatique

(Introduction)

Ecole Nationale des Sciences de lInformatique

1LAABIDI Mounira

II3-ING(ILSI, ISID,IF)


2/42

Objectifs de la scurit

Chapitre 1: Introduction

2LAABIDI Mounira

Introduire la scurit des systmes informatiques,Apprhender les notionsmenaces et Attaques,Connaitre les techniques de defenses.


3/42

Objectifs de ce module

3LAABIDI Mounira



Plan du cours:

CryptographieCryptographie symtriqueCryptographie asymtriqueFonction de Hachage et signature numriques

Scurit des systmes d'exploitation et du logiciel

Contrle daccsModles de scuritAperu darchitectures matrielles

Scurit du logicielCode malicieux

Coding errorsSoftware security verification

Scurit des rseauxLes vulnrabilits du rseauLes techniques de dfenses


4/42

Gnralits

4


LAABIDI Mounira


5/42

LAABIDI Mounira 5

Confidentialit

Intgrit

Disponibilit

BD

5LAABIDI Mounira


La scurit Informatique ???

Scurit Informatique :

Mthodes, techniques et outils mis en place

afin de protger les ressources dun systmeinformatique contre les menaces dans le but

dassurer :

lintgrit des informationsla confidentialit

la disponibilit des serviceslauthentification des utilisateursla non-rpudiation


6/42

6LAABIDI Mounira

Confidentialit (Confidentiality)Linformation nest seulement accessiblequaux personnes autorises. Tout accs nonautoris doit tre empch.

Intgrit (Integrity)Linformation transmise ne doit pas tre modifiedurant lenvoi.

Disponibilit (Availability)

Laccs aux services et ressources installesdoit tre garanti durant les plages dutilisationprvues.

Confidentialit

Intgrit Disponibilit



La proprit CIA de la scurit:


7/42 7LAABIDI Mounira


Aspects et moyens de lintgrit

Restauration : revenir dans un tat antrieur connu et correct:undo , sauvegardes, gestion des rvisions.

Authenticit: identit des participants une communication.

Non-rpudiation : metteur et rcepteur dun message ne

peuvent pas nier la transaction face un tiers.

Auditabilit : enregistrements fiables des modificationsintervenues sur un fichier ou un systme et dtection desvnements anormaux.


8/42 8LAABIDI Mounira


Aspects et moyens de la confidentialit

Confidentialit ou contrle de lusage des donnes personnelles.

Anonymat des communications.

Utilisation dun pseudonyme pour une communication:Communication invisible : stganographie


9/42

Ch i 1 I d i


10/42


Menaces de la scurit

Quels sont les Types de Menace ?

Menaces passives : consistent couter ou copier des informationsde manire illicite

Menaces actives : consistent altrer des informations ou le bonfonctionnement dun service

10LAABIDI Mounira

Passive Threats

Interception

(Confidentiality)

Traffic analysisRelease of message

contents

Active Threats

Modification

(Integrity)

Fabrication

(authenticity)

Interruption

(Availability)

Ch it 1 I t d ti


11/42


Menaces de la scurit

Origines des menaces de la scurit informatique:

11LAABIDI Mounira

Ch it 1 I t d ti


12/42

La norme ISO 27005 dfinie une vulnrabilit comme:

A weakness of an asset or group of assets that can be exploited by one or

more threats where an asset is anything that can has value to the organization

LIETF RFC 2828 dfinie une vulnrabilit comme:

Aflaw or weakness in a systems design, implementation, or operation and

management that could be exploited to violate the systems security policy

Une vulnrabilit :

Dfaut ou faiblesse dun systme informatique pouvant tre exploite par des menacespour obtenir un niveau daccs illicite une ressource dinformations ou des privilgessuprieurs ceux considrs comme normaux pour cette ressource.


Vulnrabilits et Attaques

12LAABIDI Mounira

Ch it 1 I t d ti


13/42



La norme ISO 27000 definie une attaque comme:

An attempt to destroy, expose, alter, disable, steal or gain unauthorized

access to or make unauthorized use of an asset.

where an asset is anything that can has value to the organization.

Attaque de scurit :

une action dexploitationdunevulnrabilit qui compromet la scuritde linformationpossde par une organisation

13LAABIDI Mounira



14/42



Menace :Personne ou entit qui met un actif risqueEau

Actif (Atout) :Objet ayant de la valeurPersonnage

Vulnrabilit :Faille qui offre lopportunit datteindre un actifFissure dans la digue

Impact :Perte de ou dommage un actifSubmersion du personnage

Scnario :Exploitation dune vulnrabilit par une menacepour causer un impactLeau sinfiltre dans la fissure de la digue poursubmerger le personnage

14LAABIDI Mounira



15/42


Les Modles dAttaque

Menaces dinterception

- Surveillance du rseau- Vol de donnes- Espionnage

Contre-mesures- Cryptographie et chiffrement

- Contrle daccs : Mot de passe, biomtrie- Formation du personnel

Atteinte la confidentialit

15LAABIDI Mounira



16/42


Les Modles dAttaque

Atteinte lintgrit

Menaces de modification

- Code malicieux : Virus, Ver, Bombes logiques, --- Portes drobes- URL Malveillants-Erreurs humaines

Contre-mesures

- Cryptographie : Signature, authentification- Systmes de dtection dintrusion- Antivirus- Politique de sauvegarde

16LAABIDI Mounira



17/42


Les Modles dAttaque

Atteinte la disponibilit

Menaces de saturation- Denis de services : DOS- Email SPAM-Pannes logicielles ou matrielles

Contre-mesures- Pare-feu- Systmes de dtection dintrusions- Clustering- Formation des administrateurs

17LAABIDI Mounira



18/42


Les Modles dAttaque

Atteinte lauthentification

Menaces dusurpation didentit

- Spoofing(usurpation d'identit lectronique)-Phishing

Contre-mesures

- Cryptographie : Signature, authentification

- Systmes de dtection dintrusions- Formation du personnel

18LAABIDI Mounira



19/42


Quelques chiffres

19LAABIDI Mounira



20/42


La gestion du risque

Risque (risk): probabilit de lexploitation dune vulnrabilit par une menaceportant atteinte un actif.

La norme ISO 27000 definie le risque comme:

thepotential that a given threat will exploit vulnerabilities of an asset or

group of assets and thereby cause harm to the organization. It is measured

in terms of a combination of the probability of occurrence of an event and

its consequence.

Les menaces se dveloppent avec une exposition accrue: la mobilit, le cloud

computing, les rseaux sociaux, etc.

Les vulnrabilits augmentent avec le manque de vigilance spcialement pourles systmes complexes.

L impact est li la valeur de l'actif attaqu.

20LAABIDI Mounira

Risque = Vulnrabilit * Menace * Impact


21/42



22/42


De qui faut-il se protger ?

Hackers

Les hackers sont des professionnels de la scurit informatique qui recherchent etreprent les failles des systmes et rseaux au profit dune entreprise dans le but deles corriger. Cest les gentils chapeaux blancs.

Crackers

Les crackers sont des professionnels qui recherchent, reprent et exploitentles failles des systmes et rseaux sans autorisations et pour des butsillgaux. Cest les mchants chapeaux noirs :

22LAABIDI Mounira



23/42



Script Kiddies

Des amateurs qui piratent en exploitant des programmes crits par dautres. Ils nedisposent que de peu de connaissances sur leur mode de fonctionnement etcherchent souvent impressionner par leurs toutes nouvelles connaissances eninformatique. Les script Kiddies ont en moyenne 12-15 ans.

23LAABIDI Mounira



24/42



En 2012, un adolescent allemand a russi pirater 20,000 profils Twitter et poster des messages sur les comptes pirats.

En 2009, un adolescent franais (Franois C., alias Hacker-Croll ), a piratle mot de passe du compte Twitter du Prsident Obama ...

24LAABIDI Mounira



25/42



Hacktivisme = hacker + activisme

Les "hacktivistes" infiltrent les rseaux et les systmes dinformation au service de

leurs convictions politiques et sociales. Ils oprent en groupe en organisant desoprations coup de poing technologiques : piratages, dtournements de serveurs,remplacement de pages daccueil par des tracts, etc.

29/08/201525LAABIDI Mounira



26/42

chec de la connexion

Attaquesd'entreprise

Donnesconfidentielles

Violationsaccidentellesde la scurit

Attaquesautomatises

Pirates

Virus,chevaux de

Troie et vers

Dni deservice (DoS)

DoS

p


29/08/201526LAABIDI Mounira


27/42

29/08/2015 LAABIDI Mounira 27

Processus de gestion des risques

Identificationdu contexte

Identificationdu contexte

Estimation du

risque

Estimation du

risque

Identification

du risque

Identification

du risque

Evaluation du

risque

Evaluation du

risque

Traitement durisque

Traitement durisque

Acceptationdu risque

Acceptationdu risque

Suivi etrvaluation

Suivi etrvaluation

Apprciation du risque

Analyse du risque

Communication du risqueCommunication du risque


28/42


Identification du contexte

Dcrit le but du processus de gestion des risques

Dfinition des critres Evaluation du risque

Dpendent de: valeur des processus, des actifs, conformit lgale,proprits de scurit (confidentialit, intgrit, disponibilit)

Evaluation de limpact Dfinit une chelle

Dpendent de: perte encourue, image, non-conformit avec la loi,violation de contrat, degr de classification des actifs impacts

Acceptation du risque Lie aux objectifs et politiques de lorganisation

Dpendent de: objectifs business, aspects lgaux, technologiques,financiers


29/42


Identification du contexte

Dfinition de lobjet et du primtre

Lis aux objectifs de lorganisation, sa structure, auxprocessus, au contexte socio-culturel, lenvironnement lgal

Ex. dobjet: application, infrastructure, processus, organisation

Organisation mise en place pour la gestion des risques

Rles et responsabilits

Procdures de communication et descalation


30/42


Identification du risque

Objectif: comprendre ce qui pourrait causer un

dommage lobjet de lanalyse Identification des actifs

Actifs primaires

Processus, information, connaissance

Actifs secondaires

Infrastructure, logiciel, site, personnel

Attribution dun propritaire

Identification des menaces partir de listes existantes, de rapports dincidents, davis

dexperts

Typologie de menaces

Source des menaces


31/42


Identification des mesures dj en place

Identification des vulnrabilits Diffrents niveaux: environnement, personnel, procdures,

matriel, logiciel, tiers

Rsultat: liste de vulnrabilits en lien avec les actifs et

menaces

Identification des consquences

Financires, rputation, temps (rparation, indisponibilit)

Rsultat: liste des incidents et leurs consquences

Identification du risque


32/42


Identification du Risque

Il y a un risque si un scnario a une chance dese raliser Mme sil y a une vulnrabilit, pas de risque si

pas de menace

Mme sil y a une menace, pas de risque sansvulnrabilit

Pas de risque sil ny a pas denjeu


33/42


Deux facteurs

Impact Probabilit

Mthodes

Qualitative Par ex: Bas, moyen, lev ou chelle 1-10

Facile comprendre mais subjectif

Quantitative

Valeurs numriques, drives de modles ou donnes antrieures

Difficile dobtenir des valeurs ralistes

Estimation du risque


34/42



Le risque informatique sapparente unloterie o on ne peut que perdre !

Svalue comme une loterie :

IPE

Esprancede perte

Probabilitdincident

Impact dunincident


35/42



Comment estimer le risque :

Impact : sous notre contrle, facile valuer

Risques naturels :

Valeurs connues (statistiques, actuariat, historique

de catastrophes, etc.) pour Probabilit

Risques dlibrs :

Pas vnement alatoire

Comment valuer le risque ? Analyse de risque

b b l d dl b


36/42


Probabilit des risque dlibrs

Capacit

Savoir/connaissances ou accs au savoir Outils

Ressources humaines

Argent

Opportunit

Espace : avoir accs physique Connectivit : existence d'un lien physique et logique

Temps : tre "l" au bon moment

Motivation

" qui profite le crime ?" (Qui)

Que gagne l'attaquant ? (Quoi)

Combien gagne t-il ? (Combien)

probabilit = capacit x opportunit x motivation

l i d i


37/42


Evaluation du risque

Classification des risques daprs leur

valuation compare avec les critresdvaluation et dacceptation dfinis dans lecontexte

Dtermine Si action doit tre prise

Priorit de traitement

T i d i


38/42


Traitement du risque

Dpend du rapport cot/bnfice

Diffrents types:

Acceptation du risque

Rduction du risque

Transfert du risque

Refus du risque

Risques rsiduels

T d ( l )


39/42


Types de contre-mesures (contles)

Encryptage des donnes

Contrles au niveau des logiciels Programms Partie du systme d'exploitation Contrle du dveloppement des logiciels

Contrles du matriel Contrle de l'accs au matriel: identification et authentification Contrles physiques: serrures, camras de scurit, gardiens, etc

Procdures Qui est autoris faire quoi? Changement priodiques des mots de passe Prise de copies de scurit Formation et administration

Nous allons les revoir en dtails dans le reste du cours

l i h i d


40/42


valuation et choix de contre-mesures

Rduction du risque Motivation et impact ne changent pas Rvaluation de capacit et opportunit => risque

rsiduel rduction = risque initial (sans contre-mesures)

risque rsiduel (aprs application efficace)

Cot total Cot d'installation (achat, installation, configuration) Cot d'opration (licences, personnel supplmentaire)

Impact sur la performance des systmes Convivialit du systme Impact sur la processus d'affaires Introduction de nouveaux risques


41/42


valuation et choix - deux principes fondamentaux

Principe du point le plus faible

Une personne cherchant pntrer un systme utilisera tous lesmoyens possibles de pntration, mais pas ncessairement le plus

vident ou celui bnficiant de la dfense la plus solide.

Principe de la protection adquate (Gestion du risque)

La dure de la protection doit correspondre la priode pendantlaquelle l'importance et la valeur sont prsentes, et pas plus .

Le niveau et le cot de la protection doivent correspondre

l'importance et la valeur de ce qu'on veut protger:

Choisir la contre-mesure avec le meilleur rapport"qualit" (rduction de risque) vs. "prix" (cot total)


42/42

Le reste de la dmarche

Acceptation (formelle) du risque

Validation par le management des contrles slectionns et desrisques rsiduels

Communication du risque Objectif: sassurer que toutes les parties sont informes et

communiquent quant aux dcisions prises Communication bi-directionnelle

Suivi et r-valuation Les risques ne sont pas statiques: objectifs, contexte, actifs, menaces,

vulnrabilits voluent

Apparition/disparition

Ncessit de r-valuer rgulirement le contexte, les processus etcontrles en place

Download - Chapi Ii3 Sec

Top Related