slides apéri tic e securite 10 2013
TRANSCRIPT
Sommaire
• Les Définitions• Les Risques• Les Menaces• Les Solutions• Bonus : Stuxnet
Définition (1/3)
• Intégrité– La donnée doit être intègre : • Elle ne doit pas avoir été altérée
– Lors du stockage par du matériel défaillant (RAID : détection d’une altération grâce au stockage sur plusieurs disques)
– Lors de l’écriture ou de la lecture par un logiciel défaillant
• Sauvegarde (restauration, mais uniquement après avoir détecté la corruption)• Antivirus
Définition (2/3)
• Disponibilité– La donnée doit être accessible : • Disponibilité du stockage (RAID)• Disponibilité du serveur/logiciel qui utilise cette donnée• Disponibilité des réseaux transportant l’information• Disponibilité du périphérique (Ordinateur, Tablette
utilisant cette donnée)
Définition (3/3)
• Confidentialité– La donnée ne doit être accessible que par les
personnes autorisées : • Nécessité d’identifier/authentifier les utilisateurs• Gestion des droits d’accès à la donnée
– Recommandation : tracer les actions des utilisateurs dans un journal.
Risques (1/2)
• Dommages financiers :– Disponibilité
• Un site web marchand n’est pas utilisable suite à un bug applicatif. Diagnostic et correction : pas de site web pendant x heures.
– Intégrité des données • Un virus a modifié la base de données d’un site web marchand en
divisant tous les prix par 2 : détection, restauration de la sauvegarde, indisponibilité pendant la restauration
• Indisponibilité du site web pendant x heures, des commandes à traiter avec des prix incorrects.
– Confidentialité• La base de données du site web a été entièrement téléchargée par
l’attaquant : la base de données clients (CB), prix d’achats, etc…
Risques (2/2)
• Dégradation de l’image de marque : exemple de Sony– http
://www.theregister.co.uk/2011/05/24/sony_playstation_breach_costs/
– “The cost of a criminal intrusion that exposed sensitive data for more than 100 million Sony customers and resulted in a 23-day closure of the PlayStation Network will cost the company at least $171 million, executives said.”
Menaces
• Interne :– Le plus courant : utilisateur de l’entreprise
insouciant ou mal intentionné.• Programme malveillant :– Virus, malware (pub, SPAM)
• Personne malveillante :– La pire des situations : l’attaque est ciblée et
personnalisée– APT (Advanced Persistent Threat)
Comment se propage un malware ?
• Action volontaire de l’utilisateur :– Ecran de veille gratuit Aquarium
Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les avertissements.
• Faille de sécurité :– Exemple côté utilisateur : Internet Explorer
– http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028
– Exemple côté serveur web : XSS (Cross Site Scripting)– http://fr.wikipedia.org/wiki/Cross-site_scripting
Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte !
Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et Acrobat Reader, demain ?
Marché noir des failles de sécurité• Chercheur en sécurité très honnête :
– Informe l ’éditeur, attend le correctif, publie sa découverte– Les éditeurs payent les découvertes : Google, Mozilla par exemple
• Chercheur en sécurité honnête :– Informe l ’éditeur, attend 30 jours, publie
– Chercheur en sécurité :– Vend la faille de sécurité au plus offrant (certaines failles peuvent
dépasser les 100 000 €)
• Une faille de sécurité est ensuite associée à un payload (charge utile) pour être utilisée.
Windows XP : fin de support en avril 2014
Que faire ? (1/3)
• Intégrer la sécurité lors de toute décision touchant le système d’information :– Evaluer à l’aide des trois critères principaux les
bénéfices et les risques
« La sécurité fait partie des critères pour bien choisir un prestataire. »
Que faire ? (2/3)
• Défense en profondeur :– Sensibilisation des utilisateurs• Mise en place d’une charte / guide d’utilisation de
l’outil informatique
– Sécurité logique • Authentification des utilisateurs, rôles, logs• Mises à jour régulières des logiciels• Sauvegardes• PRA/PCA (Plan de reprise / continuité d’activité)
Que faire ? (3/3)
• Défense en profondeur :– Sécurité des transmissions
• Firewall• IPS / IDS (Intrusion Prevention/Detection System)• VPN (Virtual Private Network)• Cryptage des données (Clé USB, portables…)
– Attention aux clés USB : vecteur d’infection virale très important !
– Sécurité physique • Porte verrouillée• Contrôle d’accès• Vidéo surveillance
Stuxnet• Un malware conçu pour attaquer une cible industrielle déterminée :
Installations nucléaires iraniennes => cyber arme• C'est le premier ver découvert qui espionne et reprogramme des
systèmes industriels• Le virus s’attaque aux systèmes Windows à l’aide de quatre attaques
dont trois « zero day »• En février 2011, Symantec publie une analyse complète de Stuxnet.
Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés.
http://fr.wikipedia.org/wiki/Stuxnet
Merci