• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspectives
 

La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspectives

on

  • 3,751 views

Presentation of demystifying security for municipalities. Conference done for the Union des Villes et Communes de Wallonie

Presentation of demystifying security for municipalities. Conference done for the Union des Villes et Communes de Wallonie

Statistics

Views

Total Views
3,751
Views on SlideShare
3,746
Embed Views
5

Actions

Likes
2
Downloads
0
Comments
0

2 Embeds 5

http://www.slideshare.net 4
http://www.linkedin.com 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspectives La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspectives Presentation Transcript

    • La sécurité informatique, c'est l'affaire de tous: état des lieux et perspectives Zaccone Carmelo Ir. Expert en Télécommunications et Technologies de l'Information Agence Wallonne des Télécommunications www.awt.be Avenue de Stassart, 16 Tél.: +32 81 77.80.76 B-5000 NAMUR Fax.: +32 81 77.80.99 [email_address] UVCW- Décembre 2007 Clés pour bien gérer l’informatique de ma commune
    • La sécurité, c’est avant tout un état d'esprit
      • La sécurité informatique est l'affaire de tous!
        • utilisation privée ou
        • utilisation professionnelle
      • Assurer la sécurité
        • commence par une série de bonnes pratiques
        • usage adéquat des outils de protection existants
      • Le maillon faible de la sécurité informatique reste toujours le facteur humain, et les performances des meilleurs équipements réseau reposent sur leurs bonnes configurations et la robustesse des logiciels.
      Thucydide, historien grec (5 ième siècle avt. J-C) Art of War , Sun Tzu (Stratége Militaire du 6ième siècle avt J-C) "Know yourself and know your enemy. You will be safe in every battle."
    • Exemple de tous les jours
      • Lorsqu’on quitte son domicile on est confiant :
        • personne ne pourra y pénétrer
        • équipé de dispositifs de protection (serrures , système d'alarme sophistiqué)
      • Cependant, aucun de ces dispositifs n'est efficace si
        • on ne verrouille pas la serrure
        • on n’oublie de brancher l'alarme
      • Le même raisonnement s'applique au monde TIC
        • donner une importance mineure à son identité numérique revient à négliger la valeur de sa signature manuscrite
        • installer un réseau WiFi sans activer le contrôle d'accès revient à laisser grande ouverte la porte de son domicile « informatique »
    • Etat des lieux: niveau TIC dans les communes wallonnes
      • Etude sécurité
      • confié à l’AWT en 2005
      • Ministre de l’intérieur et de la fonction publique
      • Objectifs:
      • Déterminer
        • l’état des lieux du recours au TIC
        • la sécurité qui encadre leurs utilisations
      • Mieux protéger
        • environnement TIC
        • données qui s’y trouvent
        • transactions ou échanges électroniques
          • interne
          • externe (communes/administration/ministère… entreprise/citoyen…)
      • Constat:
      • Le recours aux TIC est
        • devenu une commodité
        • à tel point qu’on ne se rend plus compte qu’ils sont présents
      • Utiliser un antivirus ne suffit plus de nos jours …»
      Guide sécurité informatique http://www.awt.be/web/sec/index.aspx?page=sec,fr,100,000,000 Étude sécurité & communes http://www.awt.be/web/sec/index.aspx?page=sec,fr,200,000,000
    • Etat des lieux: Sujets couverts par l’étude sécurité
        • les types de connexions vers l’extérieur (y compris Internet),
        • l’architecture réseau,
        • la protection avec un firewall,
        • l’usage des VPN et le télétravail,
        • le réseau local et les cyberespaces (espaces équipés et dédiés aux habitants de la commune pour accéder à Internet),
        • la séparation du trafic et la gestion des accès,
        • la détection d’intrusion électronique et physique,
        • la sécurisation des systèmes (Windows, Unix/Linux, mainframes, etc.),
        • les logiciels liés aux applications Internet,
        • les logiciels liés aux applications spécifiques aux communes,
        • la gestion des utilisateurs,
        • la protection des données,
        • la gestion des backups,
        • la problématique des virus,
        • les échanges avec l’extérieur, particulièrement les échanges avec la tutelle,
        • les problèmes liés à la sécurité (incidents sécurité),
        • la politique de sécurité,
        • les moyens de la commune (budgets ordinaires, extraordinaires, les ressources humaines, etc.),
        • le « Disaster Recovery » (recouvrement en cas de désastre),
    • Classification de l’usage: recourt au TIC
      • Recours très avancé et avancé
        • Infrastructure informatique à la pointe: technologie récente ou d’avant-garde
        • Bonne compréhension et bon suivi
          • des concepts techniques sous-jacents à la sécurité de leurs infrastructures
          • risques et solutions potentielles
        • très bon choix en matière de sécurité
          • Firewall protège
            • les connexions DEPUIS mais aussi VERS l’extérieur (Internet, partenaires, fournisseurs …)
            • respecte les règles de bonnes pratiques
          • Les Log sont enregistrés, analysés et archivés
          • Bonne vision de ce qui se passe sur le réseau
          • Bonne gestion des accès physiques (salle serveur…) et numériques (Access Rights)
          • Antivirus centralisé et managé (serveur local et client antivirus)
          • Filtrage de contenu
          • Technologie avant-garde: ex IDP
          • Audit de sécurité, test d’intrusion
          • VPN
        • Personnel technique, agent
          • compétent en TIC/réseau
          • passionné par sa fonction
          • maîtrise de ses ‘zone d’influence’ mais aussi de celles de ses fournisseurs de services
          • disposé à partager ses expériences: conseils, compétences…
        • Usage optimal des subsides et bonne gestion budgétaire
    • Classification de l’usage: recours aux TIC
      • Recours moyen
      • Situation hétérogène: Taille et moyen dédié aux TIC et à leur sécurité n’est PAS proportionnel au niveau d’usage des TIC
      • Initiative personnelle:
        • Passion des agents communaux
        • Manque de valorisation dû à la charge du travail journalier
        • Manque de temps pour étoffer
          • les solutions actuelles
          • de nouvelles solutions
      • Peu de protection par un firewall:
        • Le budget informatique (sécurité?) dépend de la taille de la commune ALORS que les protections technologiques nécessaires sont souvent similaires
      • Environnement sécurité
        • Bien maîtrisé dans les communes de grande taille:
          • Agent ‘TIC’ collabore avec le fournisseur
        • Peu maîtrisé dans les communes de petite taille
          • Fournisseur possède l’entière responsabilité
        • Présence de Lan et de VLAN (pour les <> type de trafics)
      • Conclusion: SOUVENT on ne sait pas exactement ce qui se passe sur le réseau / au sein de l’infrastructure TIC
      • IL N’Y A PAS de prise de conscience véritable des risques et menaces!
    • Classification de l’usage: recours au TIC
      • Niveau d’utilisation faible
      • Possède peu ou presque pas d’équipement informatique
      • Pas de protection réseau (firewall)
        • Simple connexion ADSL de type résidentiel
        • Connexion Publilink
      • Gestions de l’infrastructure (si présente) et de sa protection sous l’entière responsabilité du fournisseur de service
      • Majoritairement sans systèmes d’anti-virus ni même anti-spam
      • Aucune ressource humaine avec compétences en TIC/réseau et donc sécurité
      • Besoin de support et de coordination (sous philosophie neutre! Fournisseur pas tjs = bons conseils)
      • Faible, voire aucun budget associé aux TIC et ENCORE moins à leurs sécurité
    • Relation avec le ‘monde extérieur’ Commune Fournisseurs Publilink, Ciger, WGH, Certipost, … Ministère des finances ONSS/ONSSAPL Registre National Banques/ Assurances Citoyen Région Wallonne Autre administration fédérale Autre commune ASBL Ecole
    • QQ statistiques issues de l’enquête associée
      • Firewall/pare-feu
        • 61% des communes wallonnes seulement protègent leur réseau
        • 13% ont un projet d’installation dans un proche avenir.
        • Par ailleurs, 89% des communes de grande taille ont une protection contre seulement 33% des communes de petite taille,
      • Charte ou règlement interne
        • 12% usage d’Internet
        • 10% usage du courrier électronique
      • 19% des communes appliquent systématiquement un ensemble de règles explicitement décrites en matière de gestion du réseau
      • Administrateur local au PC: 23% des communes autorisent les utilisateurs à installer des programmes sur leur poste de travail
      • Identification/authentification
        • identité numérique = un nom d’utilisateur et un mot de passe personnels dans 80% des communes.
        • 6% des communes n’appliquent pas cette stratégie,
      • Réseau sans fil( WiFi)
        • très peu de communes (5%) utilisent les technologies WiFi,
        • 85% de celles qui les utilisent appliquent une sécurisation spécifique,
      • Mise à jours/patch/update: 22% seulement des communes appliquent systématiquement des correctifs (patches) pour les systèmes d’exploitation et les applications.
        • Cette constatation est très liée à la taille de la commune :
        • 33% des communes de grande taille
        • contre 13% des communes de petite taille et
        • 17% des communes de très petite taille,
      • 42% des communes affirment avoir été la cible d'attaques visant la sécurité informatique,
    • Recommandations
      • Pour les communes:
      • Guide sécurité informatique
      • http://www.awt.be/web/sec/index.aspx?page=sec,fr,100,000,000
      • Améliorer la connaissance/ identification
        • de la FCCU (Federal Computer Crime Unit) .
        • « En cas de problème, on tente de trouver une solution sans avoir le réflexe de faire appel à des experts techniques et juridiques »
        • des sociétés fiables et compétentes en sécurité informatique ou en équipement informatique en Région wallonne,
        • des offres de formation sur les problématiques informatiques.
      • Pour la Région wallonne:
      • mettre en place une plate-forme d'échanges de compétences communaux sous la coordination de la Région wallonne,
      • fournir des conseils, des avis, etc. neutres sur les concepts, les techniques (informatique & sécurité
      • établir des politiques de sécurité type appropriées pour les communes (par exemple une charte informatique),
      • fournir des cahiers des charges types (base d'expériences réussies dans certaines communes): réseau, sécurité, connexion Internet, système d’exploitation, etc.,
      • assurer une coordination pour la définition des interfaces standardisées entre les applications spécifiques aux communes afin d'assurer l'interopérabilité des flux de données
      • organiser des formations sur les moyens de protection et des séminaires d'information sur les menaces et les risques,
      • organiser des tests appropriés afin de déterminer le niveau de protection d'une commune,
      • former un groupe de travail avec des agents/analystes des communes afin d'imaginer une commune virtuelle et de développer des projets génériques
      • organiser des formations (dans les centres de formation de la région) sur les équipements/systèmes les plus utilisés dans les communes: router, switch, pare-feu, système d’exploitation station/serveur
      FCCU Tél : +32 (0)2 743 74 74 Fax : +32 (0)2 743 74 19 E-mail : contact@fccu.be Site web : http://www.polfed.be
    • Guide sécurité
      • Constat des entreprises ou administrations
      • complexité des systèmes informatiques toujours croissante
      • origine des problèmes en matière de sécurité n'est pas toujours Internet ou les connexions vers l'extérieur.
      • Un monde ouvert et de + en + interconnecté
      • interconnexion
        • favorise la communication
        • mais augmente le nombre d'interactions
      • Impact
        • le nombre de portes d'accès à notre environnement personnel augmente,
        • les actes que nous posons ont une portée de plus en plus étendue.
      • 1 er impact
      • Nécessité d'augmenter le nombre et la localisation des moyens de protection.
      • Ajoute d’une sortie supplémentaire à un bâtiment:
      • Le responsable sécurité doit non seulement doter la sortie d'un système antivol supplémentaire, mais aussi augmenter le personnel de surveillance car celui-ci ne peut avoir une portée sur l'entièreté des zones à sécuriser.
    • Guide sécurité
      • 2 ième impact
      • Identité numérique trop souvent négligée!
      • Un comportement imprudent a une portée bien plus grande qu'on ne se l'imagine.
      • Les conséquences peuvent affecter:
        • vous-même: un intrus peut lire, modifier ou détruire vos données, usurper votre identité, ou encore utiliser vos ressources informatiques auxquelles il n'a évidemment pas droit, etc.,
        • les autres membres de la communauté à laquelle on appartient (famille, étudiants, collègues, etc.): un intrus peut « se faire passer pour vous » via votre ordinateur pour attaquer et endommager les comptes et ordinateurs de la communauté, avec un impact parfois considérable sur leurs études, leurs travaux ou leurs recherches,
        • le monde extérieur (infrastructure d'un partenaire, Internet, etc.): pour les mêmes raisons qu'au point précédent,
        • votre réputation ou l'image de marque de votre entreprise/communes.
      • L'argument «  je n'ai pas besoin de me soucier de sécurité informatique, parce que ça m'est égal qu'on puisse lire, modifier ou détruire mes données, usurper mon identité, etc. » n'est pas valable!
    • La sécurité , ce n’est pas seulement une question de réseau ou d’Internet
      • Causes sont diverses:
        • erreurs de conception et de programmation,
        • pannes graves et destruction de supports physiques (incendie etc),
        • erreurs de manipulation,
        • négligences ou actes volontairement nuisibles (virus, espionnage, employé licencié, etc.).
        • etc.
      • Les risques peuvent venir de n'importe où (intérieur ou extérieur) et survenir n'importe quand!
      • Contrairement à la «  sécurité traditionnelle »,
        • l es menaces informatiques sont plus difficiles à gérer, notamment du fait du manque global d'éducation en la matière
        • Les TIC introduisent de plus
          • des architectures informatiques qui peuvent être complexes,
          • des comportements d’utilisateurs souvent difficiles à prévoir,
          • des recours juridiques qui ne sont pas assez connus (ex FCCU),
          • Des lacunes sur des sujets tels que les polices d'assurances (comment assurer une information numérique?).
      • La sécurité informatique de nos jours reste trop réactive. On réagit pour régler un problème plutôt que de chercher à l'éviter.
      • Ce n’est pourtant pas le comportement adopté en sécurité de tout les jours
    • Définition de la sécurité informatique
      • «  C’est une affaire de balance entre les risques et les bénéfices. »
      • Les concepts sous-jacents sont:
      • La confidentialité:
        • protéger les données privées ou les données sensibles
      • l'intégrité:
        • les données se trouvant sur un ordinateur ou traitées par un logiciel doivent être modifiées seulement par des moyens légitimes et pouvant être vérifiés,
        • la modification de ces données n'est permise que par une source autorisée
      • la disponibilité:
        • les données et les services offerts par des ordinateurs et des logiciels doivent être disponibles.
        • Porter attention sur mes attaques possibles (ex DoS : déni de services) externes ou internes qui mettent en danger la disponibilité d'un système
      • l'authentification:
        • chaque octet de données d’un système et chaque utilisateur de celui-ci doit être identifié et authentifié.
        • Il faut donc assurer
          • que l'utilisateur est celui qu'il prétend être,
          • que chaque donnée qui arrive sur un système provient d'une source de confiance
      • la comptabilisation des accès à un site ou à un système:
        • chaque système doit sauvegarder les traces des activités
        • afin de les utiliser en cas de problème
        • Ceci permet des analyses pour comprendre ce qui s'est passé sur un système surtout s'il a été compromis.
    • Les ingrédients de l'insécurité
      • « Les éléments qui favorisent et entretiennent un incendie sont: l'oxygène, la chaleur et les produits inflammables (essence, gaz, mazout, etc.). » L'enlèvement d'un élément de ce triangle a pour effet la disparition de l'incendie.
      • En matière de sécurité informatique, on joue aussi avec trois élements:
        • ceux qui attaquent (par exemple les hackers),
        • les vulnérabilités des systèmes et des logiciels,
        • les ressources et/ou les informations ciblées.
      • On peut en déduire que sans
        • ceux qui attaquent,
        • les vulnérabilités des systèmes et des logiciels, etc
      • les protections n'ont plus de sens.
    • Les hackers
      • Internes à une entreprise ou à une administration
      • « La protection contre la malveillance interne est difficile à détecter et à assurer, notamment dans le cas des administrateurs de systèmes disposant par définition de beaucoup de droits d'accès. »
      • Les attaquants internes sont plus dangereux car ils connaissent les places des données sensibles (cahiers de charges, appels d'offres, documents sensibles des policiers, etc.)
      • Parmi leurs motivations:
        • le mécontentement par rapport à leur travail, à leur rémunération, etc.
        • le sabotage envers leurs collègues,
        • la jalousie et des problèmes psychologiques,
        • le besoin de reconnaissance ou de valorisation de leurs compétences,
        • etc.
      • Externes à une entreprise ou à une administration
      • Parmi leurs motivations:
        • le désir de montrer ses compétences dans la maîtrise d'un système ou d'une application.
        • le désir de sabotage orienté vers un service, vers une société ou vers un réseau. (ex attaques DoS ont mis à l'arrêt des services )
        • la raisons ‘professionnelle’ ayant pour but de:
          • récolter un maximum d'informations sensibles politiques, budgétaires, etc.,
          • détruire des systèmes afin de mettre en difficulté l’entreprise, la commune
    • Conclusions:
      • Vous êtes un maillon de votre entreprise/commune
      • DONC
      • Vous être un maillon de la chaîne de sécurité informatique
      • Conseils, recommandations, concepts/détails techniques, solutions, …
      • Table des matières du guide en ligne
      • Introduction
      • En pratique Menaces et risques >
      • Sécurité réseau (1): firewall
      • Sécurité réseau (2): VLAN
      • IDS/IDP/IPS
      • Réseaux privés virtuels (VPN)
      • Le cas des réseaux sans fil
      • Sécurité de l'information
      • Accès des utilisateurs
      • Échanges électroniques
      • Systèmes et applications
      • Virus, spam et compagnie
      • Les infections
      • Spam et phishing
      • Définir sa stratégie sécurité
      • Politique de sécurité
      • Exemples
      • Guide de survie
      • http://www.awt.be/web/sec/index.aspx?page=sec,fr,100,010,001