Sécurité Informatique
Nouvelle niche marketing ?
Nouveau besoin bien réel ?
Daniel DAUVERGNE Alain MUSSARD
Agenda
Sécurité informatiqueLes paramètres de la sécuritéMettre en œuvre une démarche
« sécurité informatique »Quelques recommandationsLes virusLa connexion Internet
Sécurité informatiqueDéfinitions
SécuritéEtat de quelqu’un ou de quelque chose qui est à
l’abri du danger
InformatiqueDiscipline qui traite de tous les aspects, tant
théorique que pratiques, reliés à la conception, à la programmation, au fonctionnement et à l’utilisation des ordinateurs
Sécurité informatiqueDéfinitions
Sécurité informatiqueAbsence réelle de danger que la réunion
d’un ensemble de conditions matérielles et logiques permet d’obtenir dans la saisie, le traitement et la transmission des données, ainsi que la consultation des fichiers automatisé et la production des résultats
Sécurité informatiqueDéfinitions
Sécurité informatiqueProtection des données
Fichiers clients, conditions d’achats, informations relatives aux salariés, etc.
Protection des et contre les matérielsOrdinateurs, serveurs, switchs, hub, baie, routeurs,
etc.Protection des process
Documents qualité, détails de compositions (formules, méthodes d’assemblages, etc.)
Préserver le bon fonctionnement de l’entreprise
Sécurité informatiquePourquoi en parle t-on ?
Un ami qui vous veux du bien…Sécurité = importantImportant = cherCher = bon chiffre d’affairesBon chiffre d’affaires = objectifs
commerciaux atteints…Méthodes facilement reconnaissables
Sécurité informatique ?Pourquoi en parle t-on ?
Utilisation à des fins professionnellesProspection
Projets en cours, réponse aux appels d’offresVente
Conditions d’achats, de règlementsLivraison / réalisation
Déroulement des opérations, informations clients manipulées
FacturationCoordonnées des clients, coûts de revients M.O.,
marge sur dossier
Sécurité informatiquePourquoi en parle t-on ?
Protection de l’entrepriseDu fait que l’informatique est utilisé dans
l’entreprisePérennité
L’informatique, c’est pratique…Productivité
Durcissement des affaires, impératifs de productions,
Protection de l’outil de production
Sécurité informatiquePourquoi en parle t-on ?
Obligations légalesLégislation sur la propriété intellectuelle
Piratage de logiciels
Protection des données– Interne à l’entreprise– Manipulées par entreprise
Confidentialité de l’information
Sécurité informatiquePourquoi en parle t-on ?
Utilisation des logicielsUn ordinateurUne licence
Code de la Propriété IntellectuelleArticles L.335-3, L.122-4, L.335-2
Code PénalArticle 131-38
Sécurité informatiquePourquoi en parle t-on ?
Le logiciel est une oeuvre de l'esprit pour laquelle son auteur bénéficie d'une protection. En effet, en France comme dans la plupart des pays, les logiciels sont protégés par le droit d'auteur. La réglementation relative aux logiciels est contenue dans le Code de la Propriété Intellectuelle (C.P.I), qui comporte certaines dispositions particulières pour les logiciels afin de tenir compte de leurs spécificités par rapport aux autres oeuvres de l'esprit.Le Code de la Propriété Intellectuelle stipule :Article L.335-3 "Est (...) un délit de contrefaçon la violation de l'un des droits de l'auteur de logiciel (...)."
Article L.122-4 "Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l'auteur (...) est illicite."
Article L.335-2 "La contrefaçon en France (...) est punie de deux ans d'emprisonnement et de 150.000 Euros d'amende." Comme le stipule l’article 131-38 du Nouveau Code Pénal, ce montant peut être multiplié par cinq dans le cas d’une personne morale et donc atteindre 750.000 Euros.
Le piratage de logiciels peut donc se définir comme étant toute infraction aux lois régissant les droits de la propriété intellectuelle (droits d'auteur) et la protection juridique des programmes d'ordinateur.
Source : www.bsa.org/france
Sécurité informatiquePourquoi en parle t-on ?
Protection des donnéesNouveau Code Pénal
Obligation de mettre en œuvre des systèmes de protection
CODE PENAL(Partie Législative)
Article 226-17(Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Sécurité informatiquePourquoi en parle t-on ?
Nouvelles technologiesINTERNET
– Ouverture vers l’extérieurA double sens
– Facilité de propagation des virusMessagerieConsultation des sites Internet
Agenda
Sécurité informatiqueLes paramètres de la sécuritéMettre en œuvre une démarche
« sécurité informatique »Quelques recommandationsLes virusLa connexion Internet
Les paramètres de la sécurité
Risques
Solutions
Effets des solutions
Les paramètres de la sécuritéLes risques
AccidentsCatastrophes naturelles
Incendies, inondations, …Catastrophes humaines
Incendie, inondations, tremblements de table (bancale de préférence)
PannesServeur, écran, hub, switch, imprimantes, scanners,
modem, clavier, souris, unité centrale, disque dur, etc.
Les paramètres de la sécuritéLes risques
ErreursHumainesComportement dangereux par ignorance
MalveillancesVol, destruction, altération volontaire
– Des données– Des matériels
Les paramètres de la sécuritéLes risques
Action à mener suite à la réalisation d’un risqueFaire une déclaration d’assurance
Accidents
Déposer plainteVolExploitation frauduleuse de vos données
Les paramètres de la sécuritéLes solutions
Directement liées aux risquesAux équipements à protéger
20% de technique80% de bon sensLa solution fiable à 100% n’existe pasChaque solution à un effet
Les paramètres de la sécuritéLes effets
Arrêt total de l’exploitation informatique– Perturbations de l’activité
Perte d’une ou plusieurs fonctions– Perturbation de l’activité
Dégradations, altération, fuite des données
– Perte de confiance des clients– Exposition exagérée du chef d’entreprise
Les paramètres de la sécuritéLe triptyque « Risque / Solutions / Effets »
Pour chaque risqueUne solution est prévue
Ou pas– Cette solution à un effet
AcceptableInacceptable
CompromisDécision du chef d’entreprise
C’est LUI qui est exposé– Objectif : Réduire le risque à un niveau acceptable
Agenda
Sécurité informatiqueLes paramètres de la sécuritéMettre en œuvre une démarche
« sécurité informatique »Quelques recommandationsLes virusLa connexion Internet
Méthodologie d’une démarche « Sécurité Informatique »
InventaireDes biens
– Il n’est pas utile de tout protéger
Des risques Par bien
Des effetsPar risque ET par bien
Méthodologie d’une démarche « Sécurité Informatique »InventaireRéflexion
SolutionsAvec expression du nouveau niveau de risque atteint
– Eventuellement, nouvelle réflexion sur ce niveau de risque
DécisionD’acceptation du niveau de risque
Méthodologie d’une démarche « Sécurité Informatique »InventaireRéflexionDécisionMise en œuvre
Des solutionsContrôle des effets et validation du niveau de risque
atteint
Retour à l’inventaire
Méthodologie d’une démarche « Sécurité Informatique »Pour réussir
Implication indispensable du dirigeantInformation du personnel
La sécurité est l’affaire de TOUSL’élaboration et la mise en œuvre d’une
politique de sécurité ne doit pas reposer sur une seule personne
– Risque trop élevé– Dilution des responsabilité
Méthodologie d’une démarche « Sécurité Informatique »Pour réussir
La sécurité est une chaîne– Un maillon faible est immédiatement exploitable
Aborder le sujet d’une façon globale– Pour la cohérence de la solution
Nommer un responsable– Qui pourra coordonner les actions en cas d’incident– Qui informera ses collègues sur ces actions à mener en
cas d’incident
Méthodologie d’une démarche « Sécurité Informatique »Pour réussir
Faire accepter la sécurité comme un ensemble de règles librement consenties
Et non pas comme un ensemble de contraintes
Faire connaître la politique de sécurité auprès de tous les salariés
Pourquoi une politique de sécuritéQuelle est elle
Méthodologie d’une démarche « Sécurité Informatique »
Pour réussirLa politique de sécurité NE DOIT PAS
dépendre de la technique
La technique utilisée dépendra de la politique choisie
Agenda
Sécurité informatiqueLes paramètres de la sécuritéMettre en œuvre une démarche
« sécurité informatique »Quelques recommandationsLes virusLa connexion Internet
Quelques recommandations
Protéger le chef d’entrepriseLutte contre le piratage
– Charte d’utilisation de l’outil informatique– Modification du reglement intérieur– Adjonction d’un article dans les nouveaux
contrats de travail
« Prendre les précautions pour préserver la sécurité des informations »
Quelques recommandations
Se protéger de nous même Interdiction de manger ou boire devant l’ordinateur Interdiction de manger, boire et fumer dans les
locaux techniquesUtiliser les mots de passe
– Pour la connexion au réseau– En cas d’absence de quelques minutes
– Mises en veilles des écrans
Interdire / bloquer l’installation de logiciels sur les postes de travail
Quelques recommandations
Protéger l’infrastructureBannir les accès inutilesUtiliser un onduleur
Pour arrêter les systèmes et non pas continuer à travailler pendant quelques minutes de plus…
Utiliser un câblage sérieuxExiger un cahier de recette certifiant le câblageEliminer les connexions coaxiales
Conserver une ligne téléphonique « hors standard »
Quelques recommandations
Placer le serveur dans un endroit à accès restreint
Entretenir les matériels– Un contrat de maintenance N’EST PAS un contrat
d’entretienServeursPostes de travailRéseauxStandard téléphonique
Quelques recommandations
SauvegardesAvoir un lecteur de sauvegardesAutomatiser les sauvegardesSurveiller que les sauvegardes sont faitesTester régulièrement les sauvegardesNE PAS conserver les sauvegarde dans
l’enceinte de l’entreprise
Quelques recommandations
VirusAvoir un anti-virusInstaller l’anti-virus
Attention aux ordinateurs pré-chargés
Mettre à jour l’anti-virusContrôler régulièrement les donnéesNe pas désactiver l’anti-virus
Quelques recommandations
InternetAvoir un système de protection du réseau
– Pour empêcher les intrusions– Pour connaître la « cote » de votre entreprise
auprès des hackers– Pour contrôler l’utilisation qui est faite d’Internet
Agenda
Sécurité informatiqueLes paramètres de la sécuritéMettre en œuvre une démarche
« sécurité informatique »Quelques recommandationsLes virusLa connexion Internet
Evolution des technologiesEvolution des risquesInternet
De plus en plus indispensableFenêtre ouverte sur le monde
On peut regarder aussi par votre fenêtre… pour voir DEDANS
Nouveau média– Comme une disquette, un CD
Vecteur d’attaques viralesVoie express pour la fuite d’informations
Les virus
On parle de VirusVirus informatiquesVersChevaux de troiesLettres en chaîneFaux virus & vraies rumeurs
HoaxFarces
Jokes
Les virus
Les catégories de virus informatiquesApplicatifs
Contamination par les programmes exécutables
SystèmesContamination du secteur de démarrage du système
Macro-virusContamination via Word et Excel principalement
ScriptsContamination en consultant un site Internet
Les virus
Modes d’infections et de propagationLes vers
– Code malin capable de répandre des copies de lui-même sur d’autres systèmes informatiques.
Par le réseau localPar e-mail
– Melissa, Klez sont des virus à « esprit vers »
– Objectif : Se répandre et détruire
Les virus
Les chevaux de troies– Code malin caché dans un programme
informatiqueLa fonction est inconnue de l’utilisateur qui
l’active à son insu– Objectifs :
Consulter, modifier ou détruire des donnéesRécupérer des mots de passesPrise de contrôle de l’ordinateur à distance
Les virus
Les lettres en chaîne– La messagerie est utilisée pour la diffusion de faux
messagesVous recevez un message qui vous demande, après
en avoir pris connaissance, de le retransmettre à plusieurs personnes
– Topologie du messageAccrocheMenaceRequête
– Objectif : Saturer les serveurs de messagerie et le réseau Internet
Les virus
Les faux virus (Hoax)– Rumeur adressée par e-mail
Effet proche de celui des lettres en chaînes– Objectifs :
InquiéterNuireDésinformer
Les virus
Les farces (Jokes)– Petit programmes destinés à faire sourire
Histoire drôle animéeAnimation de noël
– Objectif : Distraire– Effet nuisible : Aucun, si ce n’est faire perdre
du temps
Agenda
Sécurité informatiqueLes paramètres de la sécuritéMettre en œuvre une démarche
« sécurité informatique »Quelques recommandationsLes virusLa connexion Internet
La connexion Internet
Le partage d’accèsIntérêts
– Economique– Productivité
La protection du réseau vis-à-vis d’Internet
La connexion Internet
L’indispensable sécuritéExposition de l’installation informatique aux
risques– Exploitation de vulnérabilités– Usurpation d’adresse IP– Déni de services– Attaque brutale– Virus
La connexion InternetRisques
Exploitation de vulnérabilitésFailles dans les systèmes d’exploitation
Vol de donnéesDétournement de ressources« Terrorisme »
ALERT!!ALERT!!ALE
RT!!
Usurpation d’adresse IP« Se faire passer pour vous – sans l’être… »
Envoi de faux messagesDétournement d’identité sur des sites
Internet ou des serveursVous utiliser pour aller faire des
déprédations ailleurs…
La connexion InternetRisques
InternetInternet
www.yahoo.com
VOUS
La connexion InternetRisques
Déni de Service (DoS)Envoi de requêtes en très grand nombre
sur votre réseauVous ne pouvez plus utiliser votre
informatiqueMis en œuvre souvent par des virus
La connexion InternetRisques
Attaque brutaleRecherche systématique de cibles
potentiellesPour ensuite les « exploiter » à volonté
INTERNET
La connexion InternetRisques
Une attaque via Internet Responsabilité immédiatement engagée
– Utilisation de vos ressources à des fins illégalesUtilisation de vos disques dur pour stocker
des fichiers piratés, des images pédophiles, etc.
Vol de vos données pour exploitation frauduleuse éventuelle
La connexion InternetRisques
La connexion Internet Les topologies de connexion
Monoposte
Réseau
INTERNET
Système de connexion
« Système de connexion »– Inclus la protection du réseau local
Routeur avec fonction FireWallFirewallProxy
La connexion InternetSolutions
La connexion InternetSolutions
Routeur avec fonction FireWallRouteur
– Equipement réseauFaire passer des informations d’un réseau
vers un autre réseau– De votre réseau à Internet– D’Internet vers votre réseau
« Fonction Firewall »Network Adress Translation
La connexion InternetSolutions
Routeur avec fonction FireWallNetwork Adress Translation
– Technique qui permet le partage de connexionUn abonnement pour plusieurs ordinateurs reliés
ensemble– Single User Access
– Les coordonnées de l’ordinateur source sont codées dans le paquet qui sort sur Internet
Une écoute simple permet de connaître l’existence et les coordonnées du réseau local
La connexion InternetSolutions
Routeur avec fonction FireWallL’ordinateur sur lequel on consulte Internet est
« présenté » sur InternetL’algorithme de codage est répandu
Les logiciels de décodage aussi
A assimiler à une porte en boisSécurité minimaleSimple à mettre en œuvrePeu coûteuse
La connexion InternetSolutions
FirewallPare-feu
Surveillance du contenu des paquets réseauxPermet d’ouvrir des accès vers un ou plusieurs
ordinateurs du réseau localEn fonction du contenu des paquets
Porte surveillée par un robotSolution complexeMise en œuvre et suivi coûteux
La connexion InternetSolutions
ProxyIntermédiaire
Equipement qui s’insère entre le réseau local et Internet
Les ordinateurs du réseau local font une requête au proxy
Qui effectue, en son nom, la requête vers Internet
– Et donne ensuite la réponse au demandeur
INTERNET
La connexion InternetSolutions
PROXY
La connexion InternetSolutions
ProxyNe permet pas d’ouvrir des accès de l’extérieur
vers l’intérieurFourni un contrôle TOTAL de ce qui est fait sur
InternetOn ne peux pas supposer l’existence d’un réseau
local s’il est derrière un proxySas surveillé ne permettant que la sortie
Solution de sécurité optimale
Questions / Réponses