nicolas younes le 16/01/2007 1 la sécurité informatique dans les associations et fondations

Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 11

La sécurité informatique dans La sécurité informatique dans les associations et fondationsles associations et fondations

Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 22

Sécurité des systèmes d’informationSécurité des systèmes d’informationdans le secteur associatifdans le secteur associatif

Les bases de donnéesLes bases de données

Les périodes crucialesLes périodes cruciales

Les principaux dangersLes principaux dangers


Sécurité des systèmes d’informationSécurité des systèmes d’information

Continuité de ServiceContinuité de Service

Attaques externesAttaques externes

Protection interneProtection interne

Questions/RéponsesQuestions/Réponses


Continuité de ServiceContinuité de Service

DéfinitionDéfinition

Mesure de la qualité de serviceMesure de la qualité de service

GTR, GTI, Disponibilité, SLA, MTBFGTR, GTI, Disponibilité, SLA, MTBF

PCA, PRAPCA, PRA


Les périodes cruciales de l’AssociationLes périodes cruciales de l’Association Le délai de reprise normale d’activité dépend :Le délai de reprise normale d’activité dépend :

de la période de l’année,de la période de l’année, des obligations à respecter vis à vis des obligations à respecter vis à vis

De l’administrationDe l’administration Des tiers (gérés dans les bases métiers)Des tiers (gérés dans les bases métiers)


classes disponibilité classes disponibilité Source wikipédiaSource wikipédia

Type Indisponibilité (minutes par an) Pourcentage disponibilité Classe

Unmanaged50.000 (34 jours, 17 heures et 20 min) 90,00000% 1

Managed5.000 (3 jours, 11 heures et 20 min) 99,00000% 2

Well managed 500 (8 heures 20 minutes) 99,90000% 3

Fault tolerance50 (un peu moins d'une heure) 99,99000% 4

High availability 5 minutes 99,99900% 5

Very high availability 0,5 (30 secondes) 99,99990% 6

Ultra high availability 0,05 (3 secondes) 99,99999% 7


Origines Top 8Origines Top 8

Coupure électriqueCoupure électrique Perte de donnéesPerte de données Erreur HumaineErreur Humaine Modification de l’existantModification de l’existant PannePanne AbsenceAbsence AttaqueAttaque CatastropheCatastrophe


Continuité de service les causesContinuité de service les causes

Aléas des pannesAléas des pannes Stabilité de l’environnementStabilité de l’environnement Perturbations extérieuresPerturbations extérieures Versatilité/Instabilité/vulnérabilité de la microVersatilité/Instabilité/vulnérabilité de la micro Complexité des configurationsComplexité des configurations Succession rapide des versionsSuccession rapide des versions Connectivité/ouverture des SIConnectivité/ouverture des SI


Architecture système informationArchitecture système information

Poste de travail UC, Clavier, SourisPoste de travail UC, Clavier, Souris ImprimanteImprimante Réseau LAN ( câble, commutateur, router )Réseau LAN ( câble, commutateur, router ) ServeursServeurs Réseau WanRéseau Wan InternetInternet Autres ( mobiles, clé, palms, wifi, gprs, umts )Autres ( mobiles, clé, palms, wifi, gprs, umts )


Configuration logicielleConfiguration logicielle

Systèmes d’exploitationSystèmes d’exploitation BureautiqueBureautique NavigateursNavigateurs MessageriesMessageries Logiciel métierLogiciel métier Anti-virusAnti-virus Utilitaires diversUtilitaires divers


Réponse ConceptuelleRéponse Conceptuelle

UnitéUnité

DualitéDualité

TrinitéTrinité

ConsolidationConsolidation


Unité Unité

Validation par rapport aux besoinsValidation par rapport aux besoins

Homogénéité (Marque, Modèle, configuration)Homogénéité (Marque, Modèle, configuration)

Fiabilité, redondance, pérennité, garantie.Fiabilité, redondance, pérennité, garantie.

ExemplesExemples


DualitéDualité

Statique ou dynamiqueStatique ou dynamique

Amélioration de qualité de service Amélioration de qualité de service

Déploiement/Montée en charge plus rapideDéploiement/Montée en charge plus rapide

PC de secours, double accès wan, clusterPC de secours, double accès wan, cluster


TrinitéTrinité

Dimensionnement des ressourcesDimensionnement des ressources

Gestion prédictive de l’évolutionGestion prédictive de l’évolution

Stabilité de fonctionnement Stabilité de fonctionnement

Garantie de performances dans le tempsGarantie de performances dans le temps


ConsolidationConsolidation

Moins de ressources à GérerMoins de ressources à Gérer

VirtualisationVirtualisation

Améliore la continuité de serviceAméliore la continuité de service

Renforce la sécuritéRenforce la sécurité


SurveillanceSurveillance

Télé alertes préventive/prédictiveTélé alertes préventive/prédictive

Visio surveillanceVisio surveillance

Sondes de détectionSondes de détection

Interventions à distanceInterventions à distance


EnvironnementEnvironnement

Salle Blanche, coupe feu, accès restreintSalle Blanche, coupe feu, accès restreint

Climatisation, ondulationClimatisation, ondulation

Detection/Extinction incendie Detection/Extinction incendie

Sondes température, humidité, hygrométrieSondes température, humidité, hygrométrie


Coupure électrique les originesCoupure électrique les origines

Hé oui ça arrive et de plus en plusHé oui ça arrive et de plus en plus

Coupure générale edfCoupure générale edf

Coupure locale ( disjoncteur )Coupure locale ( disjoncteur )

Micro-coupureMicro-coupure


Coupures électrique: préventionCoupures électrique: prévention

OnduleurOnduleur

Alimentation redondante bien répartieAlimentation redondante bien répartie

Groupe électrogèneGroupe électrogène

Installation conformeInstallation conforme


CatastrophesCatastrophes

CaniculeCanicule

Inondation ( Crue Centennale )Inondation ( Crue Centennale )

Tempête ( coupure électrique )Tempête ( coupure électrique )

Tremblement de terreTremblement de terre

Chantal Beauberbard le 16/01/2007Chantal Beauberbard le 16/01/2007 2121

Les bases de données principalesLes bases de données principales

Indépendamment de l’organisation informatique :Indépendamment de l’organisation informatique : Externalisation totale ou partielleExternalisation totale ou partielle Informatique interneInformatique interne

Sont concernées :Sont concernées : Les bases métiers de l’Association,Les bases métiers de l’Association, Les bases de gestion,Les bases de gestion, Les outils de communicationLes outils de communication


Les bases métiers de l’AssociationLes bases métiers de l’Association

les flux entrants :les flux entrants : dons, dons, adhésions, adhésions, cotisations,cotisations, SubventionsSubventions

les flux sortants :les flux sortants : aides financièresaides financières services rendusservices rendus


Les bases de gestion de l’AssociationLes bases de gestion de l’Association

La gestion financière et comptableLa gestion financière et comptable

La gestion des RH et la PaieLa gestion des RH et la Paie

La gestion des fournisseursLa gestion des fournisseurs


Perte de donnéesPerte de données

Panne disque dur ( surtension, chute, chaleur )Panne disque dur ( surtension, chute, chaleur )

Erreur humaine ( avec effet à retardement )Erreur humaine ( avec effet à retardement )

Pérennité de l’entreprisePérennité de l’entreprise

Pertes financièresPertes financières


Perte de données Top 5Perte de données Top 5

Source: Ontrack Data Recovery, IncSource: Ontrack Data Recovery, Inc

Cause de la perte de données Ce que

constate Ontrack

Défaillance du matériel ou du système d'exploitation 56%

Erreur humaine 26%

Logiciel endommagé ou dysfonctionnement d'un programme

9%

Virus informatiques 4%

Catastrophes naturelles 2%


Perte de données que faire?Perte de données que faire?

Sauvegarde SDLT, DAT, LTOSauvegarde SDLT, DAT, LTO

Copie Disque, cd, dvd, clé, cartes Copie Disque, cd, dvd, clé, cartes

RécupérationRécupération

Redondance, Dualité, cluster, Ghost, ImageRedondance, Dualité, cluster, Ghost, Image


Perte de données: SauvegardePerte de données: Sauvegarde

GlobaleGlobale

Journalière,hebdomadaire, mensuelle, annuelleJournalière,hebdomadaire, mensuelle, annuelle

Externalisée (média sur un autre site) Externalisée (média sur un autre site)

Vérifier et évaluer temps de RestaurationVérifier et évaluer temps de Restauration


Les outils de communication de Les outils de communication de l’Associationl’Association

La bureautiqueLa bureautique La messagerie, La messagerie, Internet,Internet, Le site Web de l'AssociationLe site Web de l'Association


Exemple Réseau TélécomExemple Réseau Télécom


Continuité de service: TélécomContinuité de service: Télécom

Engagement de qualité de service Prestation à souscrire

Disponibilité globale Prestation de base

Disponibilité d’un Site Disponibilité d’un Site

Garantie de Temps de Rétablissement (GTR S2) Gestion des Sites

Garantie de Temps de Rétablissement (GTR S1) Gestion des Sites + Service 24/24

Garantie de Temps de Rétablissement (GTR S2) pour routeur SRL

GTR pour routeur SRL (S2)

Garantie de Temps de Rétablissement (GTR S1) pour routeur SRL

GTR pour routeur SRL (S1)

Délai de transit Gestion des liens logiques

Taux de perte de paquets Gestion des liens logiques


Exemples: PRAExemples: PRA

Effacer des données (outils restitution fichiers)Effacer des données (outils restitution fichiers)

Panne de serveur ( raid V, unité, dualité, Panne de serveur ( raid V, unité, dualité, restauration)restauration)

Commutateur réseau HS ( Dualité )Commutateur réseau HS ( Dualité )

Vol de pc ( unité, secours, données sur Vol de pc ( unité, secours, données sur serveur)serveur)


Exemples: PCAExemples: PCA

Ferme de serveurs Métaframe, cluster bdFerme de serveurs Métaframe, cluster bd

Router Wan actif/actifRouter Wan actif/actif

Lignes télécom double adduction, ou sur deux Lignes télécom double adduction, ou sur deux sites avec liaison sécurisée entre les deux sitessites avec liaison sécurisée entre les deux sites

Boot programmé de serveurs.Boot programmé de serveurs.


Attaques externesAttaques externes

Physiques ( effraction, Vol, sabotage )Physiques ( effraction, Vol, sabotage )

Ubique ( lié à l’aspect immatériel de l’info)Ubique ( lié à l’aspect immatériel de l’info)

Logique (Virus, Piratage, Ver, Spam)Logique (Virus, Piratage, Ver, Spam)

Public ( internet, messagerie, sans fil )Public ( internet, messagerie, sans fil )


Attaques externes: PhysiquesAttaques externes: Physiques

Contrôle d’accès ( code, badge )Contrôle d’accès ( code, badge )

Détection d’intrusion physiqueDétection d’intrusion physique

Caméras ( analogique, numérique )Caméras ( analogique, numérique )

télésurveillancetélésurveillance


Attaques externes: UbiqueAttaques externes: Ubique

Piratage de donnéesPiratage de données

Attaque non intrusive, botnet, snifferAttaque non intrusive, botnet, sniffer

Sans fil (wifi, umts, gprs, gsm, infra rouge)Sans fil (wifi, umts, gprs, gsm, infra rouge)

M2MM2M


Attaques externes: LogiquesAttaques externes: Logiques

Virus Mutant, Polymorphe, RétroVirus, MacroVirus Mutant, Polymorphe, RétroVirus, Macro

Ver,Cheval de troie,Spyware,Dialer, PharmingVer,Cheval de troie,Spyware,Dialer, Pharming

Spam, hoax, phishing, scam,usurpation Spam, hoax, phishing, scam,usurpation identitéidentité

Pare-feu, vpn, ipsec, dmzPare-feu, vpn, ipsec, dmz


Attaques externes: Virus and CoAttaques externes: Virus and Co

Anti-virus Anti-virus

Différents éditeurs et endroitsDifférents éditeurs et endroits

Maj fréquentes, lancements fréquentsMaj fréquentes, lancements fréquents

Fenêtre de vulnérabilité, sites douteuxFenêtre de vulnérabilité, sites douteux


Attaques externes: spamofoliesAttaques externes: spamofolies

Attention aux mails, messages douteuxAttention aux mails, messages douteux

Les supprimer sans les lire ni désabonnementLes supprimer sans les lire ni désabonnement

Utiliser des anti-spam à plusieurs endroitsUtiliser des anti-spam à plusieurs endroits

Encoder l’adresse mail donnée en ligneEncoder l’adresse mail donnée en ligne


La protection interneLa protection interne le personnel salarié, le personnel salarié,

le personnel bénévole, le personnel bénévole,

le visiteurle visiteur


Protection interneProtection interne

La plus courante la plus difficileLa plus courante la plus difficile

Accès limité aux zones critiquesAccès limité aux zones critiques

Mot de passe, keylogger, caméras, biométrieMot de passe, keylogger, caméras, biométrie

Formation, Verrouillage, Cryptage Formation, Verrouillage, Cryptage


Protection interne: la confianceProtection interne: la confiance

Vol ( physique ou ubique ) clé usb, Vol ( physique ou ubique ) clé usb, messagerie, ftpmessagerie, ftp

Vous avez dit administrateur, BackdoorVous avez dit administrateur, Backdoor

Ingénierie socialeIngénierie sociale

Audit externeAudit externe


Sécurité: et demainSécurité: et demain

Plus actuelle que jamaisPlus actuelle que jamais

Les lames ( serveurs et même des pc )Les lames ( serveurs et même des pc )

La virtualisationLa virtualisation

Curatif, préventif, prédictifCuratif, préventif, prédictif


Questions/RéponsesQuestions/Réponses

Merci de votre attentionMerci de votre attention

nicolas younes le 16/01/2007 1 la sécurité informatique dans les associations et fondations

Documents