Escolar Documentos
Profissional Documentos
Cultura Documentos
M. Moussa
1-
Dfinitions :
L'information
lment de connaissance susceptible d'tre reprsent l'aide de conventions pour tre prsent, trait, communiqu ou conserv. France, journal officiel (janvier 1982) L'information est multiforme, sa dissociation du support implique la prise en compte de la scurit de chacune des fonctions dont elle est l'objet.
Systme d'information
Ensemble de mcanismes permettant le traitement et la communication d'informations : quel que soit le mode d'expression : oral, crit, visuel quels que soient les supports utiliss
Scurit de l'information
Ensemble de ressources mises en uvre pour protger l'information contre des menaces et des agressions identifies, dans un contexte dfini et pour des risques accepts : Quels que soient les supports et les systmes exploits, on doit scuriser : organisation, rgles, procdures, moyens matriels, produits logiciels, personnels
Dmarche scuritaire
Analyser les vulnrabilits informer les acteurs sensibiliser les dcideurs
1
ISETr
M. Moussa
protger les informations et les systmes rparer les dysfonctionnements reporter les incidents
2-
ISETr
M. Moussa
Garantir que la personne connecte a bien les droits dutiliser les ressources du systme, Garantir chacun des correspondants que son partenaire est bien celui quil croit tre.
Repose sur lutilisation des mots de passe. Identification : Les moyens par lesquels les utilisateurs revendiquent leurs identits un systme. Le plus souvent utilis pour le contrle d'accs, l'identification est ncessaire pour l'authentification et l'autorisation. Autorisation : Les droits et les autorisations accordes un individu ou d'un procd permettant d'accder une ressource informatique. Une fois l'identit d'un utilisateur et l'authentification sont tablis, les niveaux de l'autorisation dterminent l'ampleur de droits au systme qu'un utilisateur peut tenir.
3-
Terminologie :
ISETr
M. Moussa
Vulnrabilits des outils de communication Architecture matrielle du rseau Ex. rseaux non commuts Limitation matrielles des quipements Ex. fonctionnement dgrad de commutateurs rseau Faiblesse des protocoles Ex. lhomme du milieu (Man In the Middle) pour TCP/IP et SSH(ARP Spoofing,DNS poisoning) services permis et non utiliss, saturation de la liaison daccs lInternet,
3.2- Menace :
Une menace est un danger qui existe dans lenvironnement dun systme indpendamment de celui-ci : accident, erreur, malveillance. Une malveillance est laction dindividus et/ou dorganisations qui exploitent des vulnrabilits dans les systmes dinformation. Une malveillance peut tre : passive : elle ne modifie pas linformation et porte essentiellement sur la confidentialit ; active : elle modifie le contenu de linformation ou le comportement des systmes de traitement. (Intgrit et disponibilit).
Do vient la menace ?
Malveillance interne (57% des actes de malveillance) Acteurs potentiels de la cyber-dlinquance : 600 millions de machines sur Internet Si lenjeu est stratgique : socits concurrentes, socits de renseignements prives, services de renseignements
La menace volue
4
ISETr
M. Moussa
Le 19 juillet 2001, CodeRed a mis 15 heures infecter 75000 machines Le 25 janvier 2003, le ver Sapphire a mis 30 minutes pour parvenir au mme rsultat En 2003, 50% des courriers lectroniques circulant sur Internet taient des SPAMs, les prvisions les plus optimistes donnaient 75% en 2004
Exemple :
-Social engineering -Scripts et programmes -Ecoutes rseaux -Chevaux de Troie -Botes outils (Satan, Rootkit, Scanner) -Attaques par dictionnaire -Attaques coordonnes, dnis de services
ISETr
M. Moussa
ISETr
M. Moussa
Dmontre que lorganisation donne une importance la scurit et la protection Aide identifier quelle est linformation la plus sensible ou vitale pour lorganisation Assurer ladquation des concepts confidentialit, intgrit, et disponibilit limportance de linformation Aide identifier quelles protections doit tre appliqus quelle information Peut tre une exigence de rglement, de conformit, ou pour des raisons lgales
3.4.2 Concepts de la classification de linformation : Termes de classification : Niveaux de classification de donnes dans un cadre gouvernemental : Non classifi (Unclassified) : La diffusion publique de cette information ne viole pas la confidentialit.
7
ISETr
M. Moussa
Sensible mais non classifie (Sensitive but unclassified) : Information dsign comme un secret mineur, mais ne pourrait pas crer de graves dommages si divulgus. Confidentielle (Confidential): La divulgation non autorise de cette information pourrait causer des dgts la scurit nationale du pays. Secret (Secret): La divulgation non autorise de ces renseignements pourrait causer un prjudice grave la scurit nationale du pays. Top secret (Top Secret): La divulgation non autorise dinformations trs secrtes entranera des dommages exceptionnellement graves la scurit nationale du pays.
Niveaux de classification de linformation dans le secteur priv : Publique (Public) : Informations qui ressemble des informations non classifies. Toute information de l'entreprise qui ne correspond pas une des catgories suivantes peut tre prise en considration public. Sensible (Sensitive) : Informations qui ncessite un niveau suprieur de classification donnes normales. Cette information est protge par une perte de confidentialit ainsi que d'une perte d'intgrit en raison d'une modification non autorise. Prive (Private) : Cette classification s'applique aux renseignements personnels qui sont destins au sein de l'organisation. Sa divulgation non autorise pourrait srieusement et ngativement Impacter sur l'organisation ou de ses employs. Exp : niveaux de salaire et les renseignements mdicaux sont considrs comme privs. Confidentielle (Confidential): Cette classification s'applique aux affaires plus sensibles qui sont destins strictement au sein de l'organisation. La divulgation non autorise pourrait srieusement et ngativement impacter sur l'organisation, ses actionnaires, ses partenaires et ses clients.
Les propritaires des linformation sont responsable de dterminer les niveaux de classification de linformation. Pour une information sensible on peut dfinir son degr de sensibilit en H/M/L comme illustr dans le tableau suivant :
ISETr
M. Moussa
High (Haut)
Critres de classification : Valeur Age : La classification de l'information pourrait tre rduite si valeur des informations diminue au cours du temps. Pour le ministre de la dfense, certains documents classs sont automatiquement dclassifis aprs une priode de temps prdtermine. Priode de vie utile : Si l'information a t rendue obsolte en raison de nouvelles informations, des changements importants dans l'entreprise, ou d'autres raisons, les informations peuvent souvent tre dclassifies. Association au personnel : Si information personnellement associ certaines personnes ou est traite par une loi de protection des renseignements personnels, elle pourrait avoir besoin d'tre class. Distribution de linformation
Rles lis la classification de linformation : Les rles et les responsabilits de tous les participants au programme de classification des informations doivent tre clairement dfinis. Un lment cl de la classification est le rle que jouent les utilisateurs, les propritaires ou les gardiens des donnes en ce qui concerne les donnes. Manager senior Gestionnaires de programmes Propritaires dapplications Gestion de la scurit informatique Fournisseurs de technologie Organisations de support Utilisateurs
ISETr
M. Moussa
La politique devra dfinir le point de dpart, lobjectif atteindre, et comment atteindre cet objectif. Il faut dfinir les conditions de service : Quel est mon output et comment garantir le fonctionnement pour produire mon output. Dfinir les contrles mettre en place Contrle administratif : procdures, directives, Contrle daccs physique : les implmentations physiques, les quipements et mcanismes mettre en place entre un attaquant et le SI (comme verrouillage de port ou clture). Contrle technique : ce sont des logiciels et/ou des quipements qui aident scuriser les biens.
Prendre en considration laspect environnemental et la protection des vies. Si la politique ne garantit pas un milieu sr, elle ne peut pas tre considre complte. Standard : un standard spcifie lusage dune technologie spcifique dans un enchanement uniforme. Cette standardisation des procdures dopration peut tre bnfique lorganisme par la spcification de mthodologies uniformes pour tre utilises dans les contrles de scurit. Directive : comme un standard lie la mthodologie mais plus oriente dcrire laction prendre. Procdure : une procdure renferme les pas faire pour accomplir une tache.
3.5- Risque :
Le risque est la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme (ex : feu). Traiter le risque, cest prendre en compte les menaces et les vulnrabilits.
10
ISETr
M. Moussa
Un systme prsente une certaine vulnrabilit. On lui assure un niveau de protection, qui a un certain cot. Lcart entre la menace et son niveau de protection correspond au risque (accept ou rsiduel). 4 grandes familles de risques dgages: Accidents Erreurs Dutilisation De conception, de ralisation et dorganisation Physiques Pannes & Dysfonctionnements Pertes de services essentiels Autres
Malveillances Vol, vandalisme, sabotage (physique) Fraude, attaques logiques (non physique) Divulgation & espionnage conomique Autres
Comportements Mauvaise protection des donnes Mauvaise utilisation des mots de passe Utilisation/installation de logiciels/sites non autoriss Transmission en chane de messages dalerte reus, hoax Autres
11
ISETr
M. Moussa
12
ISETr