Pages

Rechercher un article dans bouhajm

jeudi 8 janvier 2015

synthèse sur la sécurité de l'information

La sécurité de l'information vise à protéger tous azimuts l'accès aux données, dans quelque but que ce soit.

Sûreté ou sécurité ?

Du latin "securitas", ce sont 2 notions proches : la sûreté c'est un état, alors que la sécurité, c'est les conditions de protection.
On se met en sécurité pour être en sûreté. Par exemple, pendant un orage s'abriter sous un arbre n'est pas un lieu de sûreté, car on n'y est pas en sécurité.
La sécurité du SI s'assure que l'entreprise ne risque rien. En somme la sécurité c'est les conditions de la sûreté de la société.
Wikipedia définit, par exemple, la sécurité des systèmes d’information (SI) comme "l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information".

on attend des réponses:
  • Que se passe-t-il si un serveur crashe?
  • Et si on perd nos commandes, comment la production peut-elle continuer ?
  • Est-on bien protégé contre l'espionnage industriel sur notre SI ?
    • Les données sont un capital de l'entreprise, car elles sont capitales pour l'entreprise.
    La sécurité n'est confinée ni aux systèmes informatiques, ni à l'information.

    5 composantes du SI 

    doivent être prises en compte : 
    • Le réseau et son équipement
    • Les OS (operateur system)
    • Les serveurs et PC
    • Les applications
    • Les utilisateurs

    les risques:

    Le système d'information est sujet à divers types de risques :
    • Intégrité : modification ou suppression de l'information ;
    • Confidentialité : révélation des informations à des tiers (qui ne doivent pas en avoir connaissance) ;
    • Disponibilité : de provoquer des pannes, des erreurs, voire de la malveillance.
    Certains de ces risques peuvent aussi, directement ou indirectement, causer d'importants dommages :
    • Financiers (détournement, vol de N° de carte de crédit...) ;
    • Personnel, causant du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires) ;
    • D'image, désinformation, diffamation, permettre à une personne de mettre en évidence des failles de sécurité sur un serveur web...
    Si un individu faisait passer les employés de l'entreprise pour des ringards, imaginez notre image auprès de nos clients !
    À l'entreprise  le département R&D a été la cible d'espionnage industriel. Notre système d'agrafeuse a été copié ! Heureusement, notre réactivité nous a fait devancer la concurrence, mais notre secret a été éventé avant l'heure et le manque à gagner est important.
    les causes des risques:

    Causes humaines

    • La maladresse : Errare humanum est. Quelqu'un peut exécuter un traitement non souhaité, effacer involontairement des données ou des programmes...
    À l'entreprise, on a Roger de la compta qui lance régulièrement le traitement de fin de mois en milieu de mois (il est proche de la retraite !).
    • L'inconscience : de nombreux utilisateurs méconnaissent les risques, et introduisent souvent des programmes malveillants sans le savoir, ou effectuent des manipulations inconsidérées.
    un employé, par exemple, colle un post-it avec son mot de passe sur son écran... pour ne pas l'oublier ! un autre employé, lui, télécharge plein de gadgets qu'il met sur sa fenêtre de bureau ou des vidéos rigolotes pour faire marrer ses collègues.
    • La malveillance : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes.
    Un soir, un employé de l'entreprise a laissé son poste allumé. L'employé de ménage a pu utiliser son poste pour aller sur des sites... de charme. Moindre mal ! Imaginez s'il avait voulu supprimer des commandes !
    La majeure partie des menaces est due à l'erreur ou la négligence humaine (utilisateurs  comme informaticiens).
    Il ne faut pas les ignorer ou les minimiser.

    Causes extérieures

    • Un sinistre (vol, incendie, dégât des eaux)
    Il y a eu le feu au stock de l'entreprise. Tout est parti en fumée. Ça aurait pu être la salle serveur. On a d'ailleurs mis un digicode pour limiter l'accès et ainsi éviter les vols.
    • Une malveillance ou une mauvaise manipulation entraînant une perte de matériel et/ou de données.
    Un jour, on a eu des  travaux de voiries. Le site de production est resté plusieurs jours sans réseau, coupé du siège, et ne pouvait plus recevoir les commandes.
    • Problèmes électriques. L'alimentation électrique n'est pas à négliger.
    En effet lors d'un orage, on  a eu des coupures et des surtensions qui ont abîmé serveurs et disques durs, donc l'accès aux données.

    Causes techniques

    • Surchauffe : les processeurs produisent de la chaleur.
    Les climatiseurs de la COGIP sont tombés en panne un week-end. La salle serveur, mal ventilée, est montée en température et les serveurs se sont mis en sécurité, en s'éteignant.
    • L'usure : elle est inévitable. En tenir compte donc !
    Le disque dur du serveur de gestion de paie de la COGIP est tombé en rade... Certains n'étaient pas contents de recevoir leur salaire avec du retard.
    • Incidents liés au logiciel : des failles permettant de prendre le contrôle total ou partiel d'un ordinateur.
    À l'entreprise, on s'est protégé contre les failles de IE et on a été peu impacté par le problème de OpenSSH.
    • Un programme malveillant : un logiciel destiné à nuire au système.

    Attaques par programmes malveillants

    Source : Wikipedia
    virus
    Programme se dupliquant sur d'autres ordinateurs
    worm (vers)
    Exploite les ressources d'un ordinateur afin d'assurer sa reproduction
    wabbit
    Programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver)
    cheval de Troie (trojan horse)
    Programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur
    backdoor
    Ouvreur d'un accès frauduleux sur un système informatique, à distance
    spyware (logiciel espion)
    Collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers
    keylogger
    Programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier

    Attaques par messagerie

    Source : Wikipedia
    spam
    Un email non sollicité. Ils encombrent le réseau, et font perdre du temps
    phishing (hameçonnage)
    Un email se faisant passer pour un organisme officiel et demandant de fournir des informations confidentielles
    hoax (canular)
    Un  email incitant à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps. Dans certains
    cas, ils incitent à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).
    Attaques sur le réseau

    Source : Wikipedia




    les moyen pour instaurer la sécurité:


    Conception globale

    Chaque composante du SI doit être prise en compte, afin d'aborder la sécurité du SI de façon globale :
    • une "prise de conscience" par les utilisateurs de leurs responsabilités ;
    • la sécurité des données ;
    • la sécurité réseaux ;
    • la sécurité des systèmes d'exploitation (OS).
    La sécurité physique doit aussi être prise en compte, au même titre que la sécurité du matériel, afin d'éviter les sinistres (incendies, vol...).

    Politique de sécurité

    • Élaborer des règles et des procédures.
    • Définir les actions à mener et les personnes à contacter.
    • Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'information.
    • Déterminer les rôles et les  responsabilités.
    La politique de sécurité doit donc être élaborée au niveau de la direction des systèmes d'information (DSI), car elle concerne tous les utilisateurs du système.

    Plan de continuité d'activité

    Il a pour but la reprise des activités après un sinistre. Il s'agit de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Ce plan est un des points essentiels de la politique de sécurité informatique d'une entreprise.

    L’analyse de risque

    • Identifier les menaces : d’origine humaine, naturelle...  internes ou externes.
    • Déduire les impacts : pour atténuer les risques.

    L’analyse d’impact

    C'est-à-dire évaluer un risque, son impact et en déterminer la gravité. On en déduit ainsi le temps maximal d’indisponibilité, à partir de laquelle elle est qualifiée de "gênante".
    Une indisponibilité du site internet institutionnel n'a pas le même degré d'importance que le processus de prise de commande.
    Mesurer ces risques en fonction de :
    • la probabilité ;
    • leur fréquence ;
    • leurs impacts.

    la sauvegarde des données:

    Objectifs de la sauvegarde

    L'opération inverse qui consiste à réutiliser des données sauvegardées s'appelle une restauration.
    Les sauvegardes sont utiles principalement à deux choses :
    • Permettre de restaurer un système informatique suite à un incident (défaillance matériel, sinistre…).
    • Faciliter la restauration d'une partie d'un système informatique (un fichier, un groupe de fichiers, un système d'exploitation, une donnée dans un fichier, etc.) suite à une suppression accidentelle ou à une modification non désirée.

    Ne pas confondre: sauvegarde et archivage

    • Sauvegarde : enregistrement des données dans un but de sécurité
    • Archivage : enregistrement des données à des fins légales ou historiques

    Critères de choix

    Le choix d'une technique de sauvegarde se fera en prenant en compte :
    • la capacité de stockage du support (le volume d'information) ;
    • la vitesse de sauvegarde ;
    • la fiabilité du support notamment après une longue période de stockage ;
    • la facilité à restaurer les données ;
    • et bien sûr le coût de l'ensemble.
    On préférera donc les sauvegardes en ligne, sur NAS ou sur SAN (Storage Area Network : réseau dédié pour mutualiser les systèmes de stockage ), en fonction de sa taille et de son budget.
    • Les NAS sont des serveurs spécialisés pour le stockage (comme un disque dur externe relié au réseau tout entier et non à un poste en particulier). Ils sont donc simples à mettre en œuvre, accessibles par tous les postes d'un réseau. Les NAS d'entreprise implémentent des systèmes de réplication de données (RAID) pour pallier à la défaillance d'un des disques durs du serveur NAS.
    • Les SAN sont un réseau complet qui unifie toutes les ressources de stockage (comme un disque dur interne supplémentaire d'un ordinateur ou d'un serveur). Il compliqué de mettre en place un SAN, car c'est un réseau spécifique avec son propre protocole. Ils sont cependant rapides d'accès, très utilisés pour les bases de données et les serveurs mail et permettent la redondance.

    Stratégies de sauvegarde

    La sauvegarde s'inscrit dans une démarche globale qui consiste à assurer la continuité d'activité d'un SI ou, en cas de défaillance, son redémarrage le plus vite possible.
    Cette démarche est souvent formalisée dans un document qui peut porter des noms divers, par exemple le Plan de reprise d'activité (PRA) ou le plan de secours.

    les actions correctives

    Mesures préventives

    • Sensibiliser les utilisateurs.
    • S'assurer de "l'innocuité" des postes de travail et des serveurs.
    • Sécuriser l'accès réseau.
    • Sauvegarder les données.
    • Redondance des matériels : en doublant, on réduit le risque.
    • Dispersion des sites : un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très peu de chance de se produire simultanément en plusieurs endroits distants.
    • Supervision : elle permet de déceler en amont les anomalies.

    Mesures curatives

    • La reprise des données : elle doit se faire dans un laps de temps court.
    • Le redémarrage des machines.
    • Le redémarrage des applications.

    Actions pour les utilisateurs

    • N'utiliser que les applications identifiées.
    • Ne pas surcharger les réseaux.
    • Respecter la confidentialité des codes d'accès.
    • Savoir reconnaître les symptômes de panne et savoir en rendre compte le plus vite possible.
    • ...

    Actions pour les techniciens

    • Avoir une bonne connaissance fonctionnelle et technique du système.
    • Sauvegarder régulièrement et s'assurer que ces sauvegardes soient utilisables.
    • ...

    Actions pour les responsables

    • S'assurer que les actions à conduire en cas de panne pourront être faites (par exemple, rien ne sert d'avoir des machines de secours si on ne prévoit pas la mise à jour de leur système d'exploitation).
    • ...
    openclassrooms


    sniffing 

    Technique permettant de récupérer toutes les informations transitant sur un réseau. Utilisée pour récupérer les mots de passe, et pour identifier les machines qui communiquent sur le réseau.


    spoofing 

    Technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Utilisée pour récupérer des informations sensibles.


    denial of
    service (déni de service) 

    Technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système.
    Publié par à

    Aucun commentaire:

    Enregistrer un commentaire

    ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse

    Inscription à : Publier les commentaires (Atom)