Your SlideShare is downloading. ×
0
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Sécurité des données
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sécurité des données

1,437

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,437
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Samedis du Libre Sécurité et Informatique à MERIGNAC Médiathèque Municipale Mérignac le 16-11-2013 avec l'ABUL
  • 2. Sécurité et Informatique ● L'insécurité : une réalité aux multiples facettes ● ● Définitions et rappels sur les risques Quelles protections, pour quels risques ? ● ● ● Mesures adaptées aux risques supports Mesures adaptées aux risques essentiels Ces données qui nous échappent ● La multiplication des objets numériques ● Le bon sens, entre prudence et paranoïa ● Florilège d'outils en lien avec la protection ● Questions / Réponses
  • 3. L'insécurité Informatique La sécurité absolue n'existe dans aucun domaine de la vie réelle. Pourquoi l'informatique ferait-elle exception ? Quel que soit le domaine, on ne parle que de : Gestion (ou réduction) des risques Mesures de protections Principe de précaution en gardant à l'esprit que la perfection n'existe pas, et qu'il faut toujours envisager les conséquences d'un événement redouté avant qu'il ne survienne.
  • 4. Rappels sur les risques Les données numériques sont immatérielles, pour les manipuler, on les met sur un support. ● Il existe donc deux types de risques très différents : ● ● Les risques essentiels : Ce sont les risques que courent les données quel que soit le support sur lequel elles se trouvent. Les risques supports : Ce sont les risques que la nature même du support fait courir aux données qu'il contient.
  • 5. Rappels sur les risques ● Les risques essentiels : ● ● La divulgation : Une information peut être portée à la connaissance d'un public qui n'avait pas à la connaître. Confidentialité L'altération (ou la dégradation) : Lorsqu'on la récupère, une partie de l'information n'est plus la même qu'au moment de son stockage. Intégrité
  • 6. Rappels sur les risques ● Les risques essentiels (suite) : ● ● La disparition : La donnée ne peut pas être récupérée au moment et à l'endroit où vous souhaitez le faire. Disponibilité La suspicion (force de preuve) : Il n'existe pas de moyen pour démontrer qu'une information est bien celle qu'elle prétend être. Auditabilité
  • 7. Rappels sur les risques ● Les risques supports : puisqu'il parait qu'une image vaut mille mots ...
  • 8. Rappels sur les risques ● Face à un risque donné, chaque support sera plus ou moins sensible ... Risque Support
  • 9. Quelles protections, pour quels risques ● Évaluation des risques : approche par les Menaces Exemples de menaces : ● ● ● ● ● Une erreur, action non réfléchie d'un utilisateur insouciant ou peu attentif. La malveillance humaine, une personne agit à votre insu pour vous causer volontairement du tort. Un programme malveillant (malware), logiciel conçu spécialement à des fins illicites. Une panne, les matériels électroniques ont une durée de vie limitée. Un sinistre, vol, incendie, dégât des eaux, panne irrémédiable, etc.
  • 10. Quelles protections, pour quels risques ● Évaluation des risques : approche par les Menaces Il faut imaginer les événements redoutés en terme de scénarios de menaces, et pour chacune, évaluer : ● ● sa probabilité (Potentialité) qui influe sur la fréquence des mesures de protection, son impact (Gravité) qui influe sur l'importance accordée aux mesures de protection
  • 11. Quelles protections, pour quels risques On obtient au final un tableau qui indique : ● ● quoi faire pour se protéger des menaces dont on veux se protéger, quand le faire pour que ce soit suffisamment efficace sans être trop coûteux. L'étape suivante consiste à déterminer les moyens à mettre en œuvre pour obtenir un niveau de protection choisi avec pragmatisme.
  • 12. Mesures adaptées aux risques supports Les risques supports les plus courants : ● Panne matérielle entraînant la perte des informations ● Destruction irrémédiable d'un support (sinistre) ● Disparition du support d'informations (perte ou vol) mais aussi ... ● ● Destruction logicielle des informations (effacement par erreur ou malveillance, etc.) Perte d'accès aux informations (mot de passe perdu, ransomware, etc.)
  • 13. Mesures adaptées aux risques supports Toutes les mesures de protection sont basées sur : ● ● ● la multiplicité des exemplaires de l'information (On ne peut pas tous les perdre en même temps ...) la localisation différente des divers exemplaires (... surtout s'ils sont géographiquement dispersés ...) la nature variée des supports utilisés pour chacun (... et ne sont pas sensible aux mêmes risques.) Dit autrement : "Ne pas mettre tous ses œufs dans le même panier"
  • 14. Mesures adaptées aux risques supports Choix suivant le type d'informations : ● Informations pouvant être régénérées Système d'exploitation, applications, informations publiques, informations dupliquées Minimiser le temps de régénération ● ● Disposer d'archives et de copies à jour Informations ne pouvant pas être régénérées "Mémoire numérique" (photos, vidéos, etc.), archives documentaires (courriels), travail en cours Protéger à la hauteur de la valeur de la perte ● Multiplier les copies et varier les supports
  • 15. Mesures adaptées aux risques essentiels Les risques essentiels les plus courants : ● ● ● Divulgation d'un information personnelle ou secrète mot de passe, clé d'accès, numéro de CB, etc. Altération ou perte d'une information importante clé de licence, composant du système, etc. Installation d'un composant malintentionné virus, trojan, keylogger, autres malware Et pour se protéger, seulement deux armes : ● La prudence, jusqu'à la méfiance s'il le faut ● Le bon sens ... et quelques bons conseils
  • 16. Les données qui nous échappent ● ● ● ● Sans données en ligne (le Cloud), les risques sont majoritairement des risques supports. Le Cloud est une nouvelle solution pour palier à ces risques anciens Mais le Cloud est porteur de façon intrinsèque de risques nouveaux Les nouveaux risques sont principalement des risques essentiels
  • 17. Les données qui nous échappent Constat de ce qui se passe dans le Grand Public : ● ● ● Le glissement vers des usages Cloud est massif Pressés de toutes part, les utilisateurs confient de plus en plus de choses aux nouveaux services si pratiques. Le changement de risque n’est pas bien perçu Les risques nouveaux ne sont pas évoqués dans le discours marketing des fournisseurs de services Cloud. Les habitudes de protection ne changent pas Les utilisateurs conservent des habitudes qui sont maintenant inadaptées aux nouveaux risques.
  • 18. Les données qui nous échappent Et un détail qui n’en est finalement pas vraiment un : Les nouveaux objets d’accès aux ressources sont fondamentalement différents des anciens "PC" ● ● ● ● De plus en plus mobiles De moins en moins ouverts De plus en plus propriétaires et spécifiques De moins en moins "hackables" (bidouillables) Le PC cède la place aux : Terminaux de Consommation de Loisirs Numériques
  • 19. Le bon sens, entre prudence et paranoïa Le Cloud n’est pas en lui même bon ou mauvais ... ... mais on peut en faire un bon ou un mauvais usage Il faut développer de nouveaux réflexes : ● Bien juger du caractère privé de ses informations ● Savoir protéger celles qui doivent rester secrètes ● Développer une saine méfiance vis à vis des services "gratuits", "fait pour vous" ou "pour votre bien" ● Comprendre les modèles économique de ces sociétés ● Ne rien considérer comme inévitable et savoir dire non ● Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et bien mesurer sa propre dépendance vis à vis d’eux
  • 20. Florilège d'outils de protection Quelques solutions de sauvegardes locales Par fichiers : Cobian Backup, Toucan ● BackUpPC, Unison, Arena BackUp, Fullsync Par Images disques : ● ● ● ● DriveImageXML, Norton Ghost, Acronis CloneZilla, outils Gnu/Linux (Partclone, etc.) Nouva Linux BackUp & Rescue
  • 21. Florilège d'outils de protection Sauvegardes de type "Cloud " Les services peuvent être spécialisés : ● Pour les photos (Flickr, Picasa, Photobucket, ...) ● Pour la musique (Soundcloud, MP3tunes, ...) ● Pour les documents (ZoHo, Adobe Buzzword, ...) ... ou généralistes : Google Drive MS SkyDrive DropBox Ubuntu One etc...
  • 22. Florilège d'outils de protection Caractéristiques importantes d'un Cloud : ● Synchronisation en arrière plan sur plusieurs appareils ● Limitation en volume et transfert (et tarification) ● Liste des systèmes et appareils supportés ● Services de diffusion audio et vidéo (streaming) Et les caractéristiques les plus importantes : ● Localisation des données (régime juridique du pays) ● Politique de confidentialité de l’opérateur du Cloud ● Modèle économique de la gratuité apparente
  • 23. Florilège d'outils de protection À malin, malin et demi : le chiffrement du contenu Le principe : ● Créer une copie chiffrée d’un répertoire sur le disque ● Synchroniser cette copie chiffrée avec le Cloud Toto Tata Titi Chiffrer Déchiffrer A&t : $ènM 5Ff) Cryptkeeper (Linux) AxCrypt (Windows) A&t : $ènM 5Ff)
  • 24. Gestion des clés de protection Pour ouvrir sa session (et déchiffrer son /home) ● Un mot de passe court suffit, ● Il faut le changer régulièrement Pour protéger son trousseau de clé ● Préférer une "phrase de passe" (passphrase) Pour se connecter sur un site/service (en https) ● Mots de passe complexes générés aléatoirement ● Ne jamais utiliser deux fois le même ● Les conserver dans son trousseau de clé
  • 25. Gestion des clés de protection Trucs et astuces de création de mots de passe ● Ceux qui doivent être frappé souvent ● ● Ceux qui ouvrent des coffres ou des trousseaux ● ● Une dizaine de caractères variés, qu’il faut mémoriser et apprendre à taper rapidement et sans erreurs, ex : qf33&45bn (attention au social engineering) Phrase longue, citation, suite de mots sans sens, ex : CarotteChevalBureauOctobreVieux, Ceux qui vont être mémorisés et gérés par le PC ● Au moins 16 caractères générés aléatoirement, ex : 6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau) Voir des sites comme strongpasswordgenerator.com
  • 26. Gestion des clés de protection Gestion des mots de passe et clés de chiffrement ● Règles d’hygiène sécuritaire ● Savoir créer un mot de passe fort et fiable ● Ne pas utiliser deux fois le même mot de passe ! ● Se faire aider par la machine pour gérer tout ça ! Le principe des poupées russes :
  • 27. La protection induit-elle la sécurité ? Comparons : PC sous Windows PC sous Linux + LL ● Antivirus ● Inutile ● Anti-Trojan ● Inutile ● Parefeu ● Intégré ● Anti Backdoor ● Inutile Trop d'insécurité --> méfiance nécessaire et plus de protections Plus de sécurité --> plus de confiance et moins de protection Et ceci n'est (quasiment) pas une caricature
  • 28. Sécurité et Informatique C'est le moment des Questions / Réponses Merci de votre attention ...

×