nicolas younes le 16/01/2007 1 la sécurité informatique dans les associations et fondations
TRANSCRIPT
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 11
La sécurité informatique dans La sécurité informatique dans les associations et fondationsles associations et fondations
Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 22
Sécurité des systèmes d’informationSécurité des systèmes d’informationdans le secteur associatifdans le secteur associatif
Les bases de donnéesLes bases de données
Les périodes crucialesLes périodes cruciales
Les principaux dangersLes principaux dangers
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 33
Sécurité des systèmes d’informationSécurité des systèmes d’information
Continuité de ServiceContinuité de Service
Attaques externesAttaques externes
Protection interneProtection interne
Questions/RéponsesQuestions/Réponses
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 44
Continuité de ServiceContinuité de Service
DéfinitionDéfinition
Mesure de la qualité de serviceMesure de la qualité de service
GTR, GTI, Disponibilité, SLA, MTBFGTR, GTI, Disponibilité, SLA, MTBF
PCA, PRAPCA, PRA
Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 55
Les périodes cruciales de l’AssociationLes périodes cruciales de l’Association Le délai de reprise normale d’activité dépend :Le délai de reprise normale d’activité dépend :
de la période de l’année,de la période de l’année, des obligations à respecter vis à vis des obligations à respecter vis à vis
De l’administrationDe l’administration Des tiers (gérés dans les bases métiers)Des tiers (gérés dans les bases métiers)
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 66
classes disponibilité classes disponibilité Source wikipédiaSource wikipédia
Type Indisponibilité (minutes par an) Pourcentage disponibilité Classe
Unmanaged50.000 (34 jours, 17 heures et 20 min) 90,00000% 1
Managed5.000 (3 jours, 11 heures et 20 min) 99,00000% 2
Well managed 500 (8 heures 20 minutes) 99,90000% 3
Fault tolerance50 (un peu moins d'une heure) 99,99000% 4
High availability 5 minutes 99,99900% 5
Very high availability 0,5 (30 secondes) 99,99990% 6
Ultra high availability 0,05 (3 secondes) 99,99999% 7
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 77
Origines Top 8Origines Top 8
Coupure électriqueCoupure électrique Perte de donnéesPerte de données Erreur HumaineErreur Humaine Modification de l’existantModification de l’existant PannePanne AbsenceAbsence AttaqueAttaque CatastropheCatastrophe
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 88
Continuité de service les causesContinuité de service les causes
Aléas des pannesAléas des pannes Stabilité de l’environnementStabilité de l’environnement Perturbations extérieuresPerturbations extérieures Versatilité/Instabilité/vulnérabilité de la microVersatilité/Instabilité/vulnérabilité de la micro Complexité des configurationsComplexité des configurations Succession rapide des versionsSuccession rapide des versions Connectivité/ouverture des SIConnectivité/ouverture des SI
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 99
Architecture système informationArchitecture système information
Poste de travail UC, Clavier, SourisPoste de travail UC, Clavier, Souris ImprimanteImprimante Réseau LAN ( câble, commutateur, router )Réseau LAN ( câble, commutateur, router ) ServeursServeurs Réseau WanRéseau Wan InternetInternet Autres ( mobiles, clé, palms, wifi, gprs, umts )Autres ( mobiles, clé, palms, wifi, gprs, umts )
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1010
Configuration logicielleConfiguration logicielle
Systèmes d’exploitationSystèmes d’exploitation BureautiqueBureautique NavigateursNavigateurs MessageriesMessageries Logiciel métierLogiciel métier Anti-virusAnti-virus Utilitaires diversUtilitaires divers
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1111
Réponse ConceptuelleRéponse Conceptuelle
UnitéUnité
DualitéDualité
TrinitéTrinité
ConsolidationConsolidation
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1212
Unité Unité
Validation par rapport aux besoinsValidation par rapport aux besoins
Homogénéité (Marque, Modèle, configuration)Homogénéité (Marque, Modèle, configuration)
Fiabilité, redondance, pérennité, garantie.Fiabilité, redondance, pérennité, garantie.
ExemplesExemples
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1313
DualitéDualité
Statique ou dynamiqueStatique ou dynamique
Amélioration de qualité de service Amélioration de qualité de service
Déploiement/Montée en charge plus rapideDéploiement/Montée en charge plus rapide
PC de secours, double accès wan, clusterPC de secours, double accès wan, cluster
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1414
TrinitéTrinité
Dimensionnement des ressourcesDimensionnement des ressources
Gestion prédictive de l’évolutionGestion prédictive de l’évolution
Stabilité de fonctionnement Stabilité de fonctionnement
Garantie de performances dans le tempsGarantie de performances dans le temps
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1515
ConsolidationConsolidation
Moins de ressources à GérerMoins de ressources à Gérer
VirtualisationVirtualisation
Améliore la continuité de serviceAméliore la continuité de service
Renforce la sécuritéRenforce la sécurité
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1616
SurveillanceSurveillance
Télé alertes préventive/prédictiveTélé alertes préventive/prédictive
Visio surveillanceVisio surveillance
Sondes de détectionSondes de détection
Interventions à distanceInterventions à distance
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1717
EnvironnementEnvironnement
Salle Blanche, coupe feu, accès restreintSalle Blanche, coupe feu, accès restreint
Climatisation, ondulationClimatisation, ondulation
Detection/Extinction incendie Detection/Extinction incendie
Sondes température, humidité, hygrométrieSondes température, humidité, hygrométrie
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1818
Coupure électrique les originesCoupure électrique les origines
Hé oui ça arrive et de plus en plusHé oui ça arrive et de plus en plus
Coupure générale edfCoupure générale edf
Coupure locale ( disjoncteur )Coupure locale ( disjoncteur )
Micro-coupureMicro-coupure
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 1919
Coupures électrique: préventionCoupures électrique: prévention
OnduleurOnduleur
Alimentation redondante bien répartieAlimentation redondante bien répartie
Groupe électrogèneGroupe électrogène
Installation conformeInstallation conforme
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 2020
CatastrophesCatastrophes
CaniculeCanicule
Inondation ( Crue Centennale )Inondation ( Crue Centennale )
Tempête ( coupure électrique )Tempête ( coupure électrique )
Tremblement de terreTremblement de terre
Chantal Beauberbard le 16/01/2007Chantal Beauberbard le 16/01/2007 2121
Les bases de données principalesLes bases de données principales
Indépendamment de l’organisation informatique :Indépendamment de l’organisation informatique : Externalisation totale ou partielleExternalisation totale ou partielle Informatique interneInformatique interne
Sont concernées :Sont concernées : Les bases métiers de l’Association,Les bases métiers de l’Association, Les bases de gestion,Les bases de gestion, Les outils de communicationLes outils de communication
Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 2222
Les bases métiers de l’AssociationLes bases métiers de l’Association
les flux entrants :les flux entrants : dons, dons, adhésions, adhésions, cotisations,cotisations, SubventionsSubventions
les flux sortants :les flux sortants : aides financièresaides financières services rendusservices rendus
Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 2323
Les bases de gestion de l’AssociationLes bases de gestion de l’Association
La gestion financière et comptableLa gestion financière et comptable
La gestion des RH et la PaieLa gestion des RH et la Paie
La gestion des fournisseursLa gestion des fournisseurs
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 2424
Perte de donnéesPerte de données
Panne disque dur ( surtension, chute, chaleur )Panne disque dur ( surtension, chute, chaleur )
Erreur humaine ( avec effet à retardement )Erreur humaine ( avec effet à retardement )
Pérennité de l’entreprisePérennité de l’entreprise
Pertes financièresPertes financières
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 2525
Perte de données Top 5Perte de données Top 5
Source: Ontrack Data Recovery, IncSource: Ontrack Data Recovery, Inc
Cause de la perte de données Ce que
constate Ontrack
Défaillance du matériel ou du système d'exploitation 56%
Erreur humaine 26%
Logiciel endommagé ou dysfonctionnement d'un programme
9%
Virus informatiques 4%
Catastrophes naturelles 2%
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 2626
Perte de données que faire?Perte de données que faire?
Sauvegarde SDLT, DAT, LTOSauvegarde SDLT, DAT, LTO
Copie Disque, cd, dvd, clé, cartes Copie Disque, cd, dvd, clé, cartes
RécupérationRécupération
Redondance, Dualité, cluster, Ghost, ImageRedondance, Dualité, cluster, Ghost, Image
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 2727
Perte de données: SauvegardePerte de données: Sauvegarde
GlobaleGlobale
Journalière,hebdomadaire, mensuelle, annuelleJournalière,hebdomadaire, mensuelle, annuelle
Externalisée (média sur un autre site) Externalisée (média sur un autre site)
Vérifier et évaluer temps de RestaurationVérifier et évaluer temps de Restauration
Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 2828
Les outils de communication de Les outils de communication de l’Associationl’Association
La bureautiqueLa bureautique La messagerie, La messagerie, Internet,Internet, Le site Web de l'AssociationLe site Web de l'Association
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 2929
Exemple Réseau TélécomExemple Réseau Télécom
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3030
Continuité de service: TélécomContinuité de service: Télécom
Engagement de qualité de service Prestation à souscrire
Disponibilité globale Prestation de base
Disponibilité d’un Site Disponibilité d’un Site
Garantie de Temps de Rétablissement (GTR S2) Gestion des Sites
Garantie de Temps de Rétablissement (GTR S1) Gestion des Sites + Service 24/24
Garantie de Temps de Rétablissement (GTR S2) pour routeur SRL
GTR pour routeur SRL (S2)
Garantie de Temps de Rétablissement (GTR S1) pour routeur SRL
GTR pour routeur SRL (S1)
Délai de transit Gestion des liens logiques
Taux de perte de paquets Gestion des liens logiques
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3131
Exemples: PRAExemples: PRA
Effacer des données (outils restitution fichiers)Effacer des données (outils restitution fichiers)
Panne de serveur ( raid V, unité, dualité, Panne de serveur ( raid V, unité, dualité, restauration)restauration)
Commutateur réseau HS ( Dualité )Commutateur réseau HS ( Dualité )
Vol de pc ( unité, secours, données sur Vol de pc ( unité, secours, données sur serveur)serveur)
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3232
Exemples: PCAExemples: PCA
Ferme de serveurs Métaframe, cluster bdFerme de serveurs Métaframe, cluster bd
Router Wan actif/actifRouter Wan actif/actif
Lignes télécom double adduction, ou sur deux Lignes télécom double adduction, ou sur deux sites avec liaison sécurisée entre les deux sitessites avec liaison sécurisée entre les deux sites
Boot programmé de serveurs.Boot programmé de serveurs.
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3333
Attaques externesAttaques externes
Physiques ( effraction, Vol, sabotage )Physiques ( effraction, Vol, sabotage )
Ubique ( lié à l’aspect immatériel de l’info)Ubique ( lié à l’aspect immatériel de l’info)
Logique (Virus, Piratage, Ver, Spam)Logique (Virus, Piratage, Ver, Spam)
Public ( internet, messagerie, sans fil )Public ( internet, messagerie, sans fil )
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3434
Attaques externes: PhysiquesAttaques externes: Physiques
Contrôle d’accès ( code, badge )Contrôle d’accès ( code, badge )
Détection d’intrusion physiqueDétection d’intrusion physique
Caméras ( analogique, numérique )Caméras ( analogique, numérique )
télésurveillancetélésurveillance
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3535
Attaques externes: UbiqueAttaques externes: Ubique
Piratage de donnéesPiratage de données
Attaque non intrusive, botnet, snifferAttaque non intrusive, botnet, sniffer
Sans fil (wifi, umts, gprs, gsm, infra rouge)Sans fil (wifi, umts, gprs, gsm, infra rouge)
M2MM2M
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3636
Attaques externes: LogiquesAttaques externes: Logiques
Virus Mutant, Polymorphe, RétroVirus, MacroVirus Mutant, Polymorphe, RétroVirus, Macro
Ver,Cheval de troie,Spyware,Dialer, PharmingVer,Cheval de troie,Spyware,Dialer, Pharming
Spam, hoax, phishing, scam,usurpation Spam, hoax, phishing, scam,usurpation identitéidentité
Pare-feu, vpn, ipsec, dmzPare-feu, vpn, ipsec, dmz
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3737
Attaques externes: Virus and CoAttaques externes: Virus and Co
Anti-virus Anti-virus
Différents éditeurs et endroitsDifférents éditeurs et endroits
Maj fréquentes, lancements fréquentsMaj fréquentes, lancements fréquents
Fenêtre de vulnérabilité, sites douteuxFenêtre de vulnérabilité, sites douteux
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 3838
Attaques externes: spamofoliesAttaques externes: spamofolies
Attention aux mails, messages douteuxAttention aux mails, messages douteux
Les supprimer sans les lire ni désabonnementLes supprimer sans les lire ni désabonnement
Utiliser des anti-spam à plusieurs endroitsUtiliser des anti-spam à plusieurs endroits
Encoder l’adresse mail donnée en ligneEncoder l’adresse mail donnée en ligne
Chantal Beaubernard le 16/01/2007Chantal Beaubernard le 16/01/2007 3939
La protection interneLa protection interne le personnel salarié, le personnel salarié,
le personnel bénévole, le personnel bénévole,
le visiteurle visiteur
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 4040
Protection interneProtection interne
La plus courante la plus difficileLa plus courante la plus difficile
Accès limité aux zones critiquesAccès limité aux zones critiques
Mot de passe, keylogger, caméras, biométrieMot de passe, keylogger, caméras, biométrie
Formation, Verrouillage, Cryptage Formation, Verrouillage, Cryptage
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 4141
Protection interne: la confianceProtection interne: la confiance
Vol ( physique ou ubique ) clé usb, Vol ( physique ou ubique ) clé usb, messagerie, ftpmessagerie, ftp
Vous avez dit administrateur, BackdoorVous avez dit administrateur, Backdoor
Ingénierie socialeIngénierie sociale
Audit externeAudit externe
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 4242
Sécurité: et demainSécurité: et demain
Plus actuelle que jamaisPlus actuelle que jamais
Les lames ( serveurs et même des pc )Les lames ( serveurs et même des pc )
La virtualisationLa virtualisation
Curatif, préventif, prédictifCuratif, préventif, prédictif
Nicolas Younes le 16/01/2007Nicolas Younes le 16/01/2007 4343
Questions/RéponsesQuestions/Réponses
Merci de votre attentionMerci de votre attention