Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?

Sécurité InformatiqueSécurité Informatique
Politique de sécurité; de l’Analyse
des risques vers la Sécurité Web
Mr Maddouri Faouzi
Universitaire [INSAT,ISSAT, ENIS, ISET’COM, ISET]
Auditeur Certifié ANSI
C lt t E tConsultant Expert
Faouzi.Maddouri2006@yahoo.frFaouzi.Maddouri2006@yahoo.fr

ObjectifsObjectifs
M ît i d l dé h (E j )Maîtrise de la démarche (Enjeux)
Nécessité de l’Audit de sécurité
Normes anal se des risq eNormes , analyse des risque
Politique de sécurité fondée sur Audit+Analyse
des Risquesdes Risques
Avoir une idée sur les outils logiciels
Avoir une idée sur les architectures sécuriséesAvoir une idée sur les architectures sécurisées
et leurs composants
Positionner le Serveur Web
ou
zi
Positionner le Serveur Web
Sécuriser la Configurer du service web
ddou
riFao
eniorC
ertifié
A
N
SI
Mr Maddouri Faouzi - Copyright 2009 © 2
M
r
M
ad
A
uditeurSen

PlanningPlanning
Durée : 3h
#Séances : 3
Pauses : 2x15mn
Support : papier + documents numériquesSupport : papier + documents numériques
Méthodologie:
N ti t tNotions et concepts
Ateliers pratiques
ou
zi
Pré évaluation
Post-évaluation
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

PlanPlan
Définitions Solutions Techniques:Définitions
SI (D+T+E+H)
SII
Sé ité ISMS RIAMS
Solutions Techniques:
Chiffrement
Signature Numérique
Id tif /A th tifi tiSécurité, ISMS, RIAMS,
RSSI
ROSI, AO, AP, AT, AR
M H ki
Identif./Authentification
Solutions de Haute
disponibilité
R d d Cl té iMenaces, Hacking,
cracking
Aspects de la sécurité et
services
Redondance, Clustériser
VPN
Solutions Organisationnelles
services
Confidentialité
Intégrité
Di ibilité
Audit
Analyse des risques
Veuille et surveillance
ou
zi
Disponibilité
Non Répudiation
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Plan (suite)Plan (suite)
P d Né ité /E jProcessus de
sécurisation
A dit
Nécessités/Enjeux :
vérification continue
Audit
Implémentation
A l d i
Approbation
externe (audit)
Réfé ti lAnalyse des risques
Modèle PDCA
Référentiels,
standards et
normes
Planifier
Implémenter
normes
Méthodologies
ou
zi
Vérifier
Agir
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Types d’audit
Interne
Méthodologies
d’audit
Externe
Tierce partie
MEHARI
MARIONp
(accréditation)
Niveaux d’audit
eBIOS
GAENiveaux d audit
Organisationnel
Physique
GAE
Méthodologies
d’analyse de risques
ou
zi
Physique
Logique (technique)
d analyse de risques
SASA
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Cadre juridique NormesCadre juridique
Loi N° 5-2004, Fév 2004
Décret N°2004-1248, 1249 et
1250 du 25-Mai-2004 :
O i ti d l'ANSIO i ti d l'ANSI
Normes
ISO 19011
BS 7799BS 7799
ISO 17799Organisation de l'ANSI,Organisation de l'ANSI,
Conditions de CertificationConditions de Certification
des Auditeurs, et Systèmesdes Auditeurs, et Systèmes
Informatiques audiblesInformatiques audibles
Décret N°97-389 du 21-
ISO 17799
ISO 27001
QuestionnaireQuestionnaire
Décret N 97-389 du 21-
Fevrier-1997 modifié et
N°1226 et 1227 du 31-Mai-
2004 : Organisation etOrganisation et
fonctionnement desfonctionnement desfonctionnement desfonctionnement des
archives nationalesarchives nationales
Loi organique N°2004-63 du
27-Juillet-2004 : ProtectionProtection
des données a caractèredes données a caractère
ou
zi
des données a caractèredes données a caractère
personnelpersonnel
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Plan (suite - Sécurité logique)Plan (suite Sécurité logique)
MenacesMenaces Sources d’attaquesSources d’attaquesMenacesMenaces
Codes malveillants :
Virus, Vers
Bombes logiques
Sources d attaquesSources d attaques
ExterneExterne
InterneInterneg q
Mochards/espiogiciels
Cheval de Troi-troyen (back-
door)
Spam
VulnérabilitésVulnérabilités
Défaillance IIS
TCP thSpam
Adwar
Attaques :
Intrusions
TCP three-way
handshake
TCP Flood attackIntrusions
Deny Of Services (DoS)
Usurpation
Interposition
NFS i-noeud attack
DoS et DDoS
ou
zi
p
Empoisonnement(spoofing)
Espionnage/ecoute(sniffing)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Plan (suite - Sécurité logique)Plan (suite Sécurité logique)
ACLArchitectures de sécurité
DMZ
I t t
ACL
VLAN’s
Proxy, Reverse-Proxy,
Intranet
Extranet
ZA
Proxy, Reverse Proxy,
pot de miel (honey Pots)
Firewalls
P t l i / tZA
Réseau périphérique
Réseau Partenaire
Protocolaires/contenu
Matériel/Logiciel
Sondes(IDS,HIDS,NIDS)Réseau Partenaire
Topologies Bastion
Cache et NAT/PAT
Sondes(IDS,HIDS,NIDS)
Analyseurs Antivirus
Supervision et analyse
é t l tè
ou
zi
Cache et NAT/PAT
SNAT et DNAT
SPAT et DPAT
réseau et logs système
Mises à Jours AntiV+S.E.
ddou
riFao
eniorC
ertifié
A
N
SI
SPAT et DPAT
M
r
M
ad
A
uditeurSen

Aspects de la sécuritéAspects de la sécurité
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Remèdes et SolutionsRemèdes et Solutions
Solutions Techniques Solutions logiciellesSolutions Techniques
Chiffrement [C,NR]
Signature
Solutions logicielles
PKI
IPSecg
numérique[I,NR]
Haute disponibilité –
redondance [D]
EFS
SSL/HTTPS
SSH
Identification –
Authentification [NR]
Traçabilité [NR]
SSH
FTPS
VPNç [ ]
Solutions Organisationnelles
Audit
ou
zi
Implémentation de sécurité (contrôles et mesures)
Analyse de risques (évaluation)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

ChiffrementChiffrement
S ét i A ét iSymétrique
César-mono-
l h béti
Asymétrique
RSA
alphabétique
Poly-alphabétique
R d é
Diffie-Hellman
PGP
Roue de végynere
DES (par bloc)
IDEAIDEA
AES
bl
ou
zi
RC2 (par bloc)
RC4 (par flux)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

CryptanalyseCryptanalyse
Analyse statistique linguistiqueAnalyse statistique-linguistique
Brute forcing
Attaque par dictionnaireAttaque par dictionnaire
Attaque par Ingénierie sociale
Facteurs de réussite
Taille du cryptogramme (texte chiffré)
Taille de la cléTaille de la clé
Durée de vie de la clé
Diversité (qualité) de la clé
Nombre de clé possibles
ou
zi
Nombre de clé possibles
Qualité de l’algorithme de chiffrement
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Chiffrement : SymétriqueChiffrement : Symétrique
Clé
01010000111
Clé
01010000111
Transmission par canal sécurisé
Cryptanalyst
Voici le
é
Texte clair
Voici le
Texte clairCryptage DécryptageInternet
numéro
de ma
carte de
crédit
111111,
numéro
de ma
carte de
crédit
111111,
☺☼♀☻
♠♣▼╫◊
♫◙◘€£
¥₪Ω‫٭‬
ou
zi
Emetteur
Ré pt r
Texte crypté
ddou
riFao
eniorC
ertifié
A
N
SI
Récepteur
M
r
M
ad
A
uditeurSen

Exemple Chiffrement symétriqueExemple Chiffrement symétrique
M l h béti P l l h bétiMono-alphabétique
Texte en clair : ‘Ali’
Poly-alphabétique
Texte en clair : ‘Ali’
Clé : 2
Texte chiffré : ‘Cnk’
Clé : 213
Texte chiffré : ‘Cml’
Clés faibles Sensible à l’analyse
t ti ti‘Alia’ => ‘Cnkc’
Espace de clés
li ité ( d d )
statistique
linguisitique
Espace de clés
ou
zi
limité (redondance) Espace de clés
limité (redondance)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Chiffrement AsymétriqueChiffrement Asymétrique
Clé publique
du récepteur
Clé privée
du récepteur
C DTexte clair
du récepteur du récepteur
Texte clairCryptage Internet Décryptage
Voici le
numéro
de ma
carte de ☺☼♀☻
Texte clair
Voici le
numéro
de ma
carte de
Texte clair
carte de
crédit
111111,
☺☼♀☻
♠♣▼╫◊
♫◙◘€£
¥₪Ω‫٭‬
carte de
crédit
111111,
ou
zi
Emetteur Récepteur
Texte crypté
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Exemple Chiffrement asymétriqueExemple Chiffrement asymétrique
RSA D-H
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Application de chiffrement RSAApplication de chiffrement RSA
Bob : (p, q) premiers
n=pq et z=(p-1)(q-1)
Alice
e<n , (e,z) premiers
entre eux
d , ed-1 divisible par
z => ed/z=1
KPb(Bob)={n,e}
ou
zi
KPb(Bob) {n,e}
KPv(Bob)={n,d}
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Bob Alice :
texte à émettre : m
Texte chiffré : c
c = me mod(n)
m = cd mod(n)
c = m mod(n)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

5 t 7 35 24 d 29d 29 Alice: m ‘love’;{n e} }={35 5}p=5 et q=7 => n=35;z=24;d=29d=29
Bob : KPb{n, e}={35, 5}
et K {n d} {35 2929}
Alice: m=‘love’;{n, e} }={35, 5}
m me c
et KPv {n, d}={35, 2929}
e=5 ; n=35
l 12 248832 17
o 15 759375 15o 15 759375 15
v 22 5153632 22
5 3125 10
c cd m
17 481968 12 l e 5 3125 1017 481968.. 12 l
15 127834.. 15 o
ou
zi
22 851643.. 22 v
10 1028 5 e
ddou
riFao
eniorC
ertifié
A
N
SI
10 10 5 e
M
r
M
ad
A
uditeurSen

30 81 85 02 7e 00 92 ce 7a c1 ae 83 3e 5a aa 89 83 57 ac 25 01 76 0c30 81 85 02 7e 00 92 ce 7a c1 ae 83 3e 5a aa 89 83 57 ac 25 01 76 0c
ad ae 8e 2c 37 ce eb 35 78 64 54 03 e5 84 40 51 c9 bf 8f 08 e2 8a 82
08 d2 16 86 37 55 e9 b1 21 02 ad 76 68 81 9a 05 a2 4b c9 4b 25 66 22
56 6c 88 07 8f f7 81 59 6d 84 07 65 70 13 71 76 3e 9b 77 4c e3 50 89
ou
zi
56 6c 88 07 8f f7 81 59 6d 84 07 65 70 13 71 76 3e 9b 77 4c e3 50 89
56 98 48 b9 1d a7 29 1a 13 2e 4a 11 59 9c 1e 15 d5 49 54 2c 73 3a 69
82 b1 97 39 9c 6d 70 67 48 e5 dd 2d d6 c8 1e 7b 02 03 01 00 01
44 63 c5 31 d7 cc c1 00 67 94 61 2b b6 56 d3 bf 82 57 84 6f
ddou
riFao
eniorC
ertifié
A
N
SI
44 63 c5 31 d7 cc c1 00 67 94 61 2b b6 56 d3 bf 82 57 84 6f
M
r
M
ad
A
uditeurSen

ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Scénario [C, NR/I.Auth]Scénario [C, NR/I.Auth]
E tt R tEmetteur:
T
Recepteur
CPv + CPb
CPb
[T]CPbCPb
[[T]CPb]CPv => T
T’
[T’]CPv
T
[T’]CPv
ou
zi
[ ]CPv
[[T’]CPv]CPb => T’
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Signature NumériqueSignature Numérique
MD5 : Message Digest 5
Développé en 1991pp
Génère une empreinte de taille 128 bits en traitant
les données d’entrée par blocs de 512 bitsles données d entrée par blocs de 512 bits.
SHA-1 : Secure Hash algorithm
Génère une empreinte de taille 160 bits.
Plus fort que MD5.
ou
zi
q
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Signature NumériqueSignature Numérique
Texte clair Texte clair
Internet
Texte clair Texte clair
Hachage=?
Empreinte EmpreinteEmpreinte
Hachage
p
reçue
p
recalculée
p
Empreinte
reçue
Empreinte
recalculée
= Le texte reçu est intègre1)
ou
zi
reçue recalculée
≠ Le texte reçu est altéré2)
ddou
riFao
eniorC
ertifié
A
N
SI
Empreinte
reçue
Empreinte
recalculée
M
r
M
ad
A
uditeurSen

Exemple Signature Numérique/HachageExemple Signature Numérique/Hachage
MD5 SHA-1
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Applications protocolaires de PKIApplications protocolaires de PKI
SSL, HTTPS,
SSH,
OpenSSL
FTPS,
IPSecIPSec,
VPN
EFS
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Haute DisponibilitéHaute Disponibilité
Clustering
Pile de serveurs
Grid Computing
ASP
Solutions RAID 0-5
Replication
SaaS
Cloud ComputingReplication
Répartition
Cloud Computing
Distribution
Load-balancing
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen
MF2
MF3

Diapositive 28
MF2 Application Service Provider
Maddouri Faouzi; 19/01/2009
MF3 Software as a Service

Identification+AuthentificationIdentification Authentification
Authentification
faible
Login
Authentification forte
PKI
Login
Mot de passe
Qualité/robustess
Mots de passe jetables
(OTP)Qualité/robustess
e
Taille
Biométrie
Empreinte digitale, main
Durée de vie
Réutilisation
p g ,
Empreinte vocale, écriture
Empreinte faciale,
ou
zi
rétinienne/iris
Single-Sign-On (kerberos)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Domaine d’authentificationDomaine d authentification
Monoposte
Workgroup
Domaine
LDAP (ActiveDirectory,
Oracle InternetOracle Internet
Directory, IBM
Webspherep
LDAP,Lotus Domino)
NIS/NIS+
ou
zi
YP
Kerberos
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Traçabilité et non-répudiationTraçabilité et non répudiation
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas : ConfidentialitéEtude de cas : Confidentialité
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas : IntégritéEtude de cas : Intégrité
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas : Non-répudiationEtude de cas : Non répudiation
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas e-CommerceEtude de cas e Commerce
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas VPNEtude de cas VPN
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Retour Investissement SécuritéRetour Investissement Sécurité
I tiInvestir
Où?
Quoi(D-E-T-H)Quoi(D-E-T-H),
Lequel?
Qu’est ce que(C-I-D-NR)?q ( )
Pourquoi?
Quand?
Qui fait quoi?
Comment?
Solution : Audit+Analyse
ou
zi
Solution : Audit+Analyse
des risques
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Cadre Juridique (auditer qui?)Cadre Juridique (auditer qui?)
SI Audibles
FSI-FAI
Opérateurs télécom
Entreprises/Organismes échangeant desEntreprises/Organismes échangeant des
données par réseau public externe
E t i /O i t it t dEntreprises/Organismes traitant des
données à caractère personnel
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Cadre Juridique (audite par qui?)Cadre Juridique (audite par qui?)
Auditeur de nationalité Tunisienne
Certifié ANSICertifié ANSI
Retenu suite à un appel
d’ ff /C lt tid’offre/Consultation
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Cadre Juridique (auditer quoi?)Cadre Juridique (auditer quoi?)
D éDonnées
Equipements
Outils de Traitement (software, applications,
facilities)
Facteur Humain (personnel, procédures,
législation, plans)
Etendue (LAN’s, WAN’s, Sites, Serveurs)
Aspects à auditer(C-I-D-NR)
ou
zi
EchantillonnageEchantillonnage (en cas de nécessité)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Cadre Juridique (comment auditer?)Cadre Juridique (comment auditer?)
Norme ISO-19011
TaxonomieTaxonomie
Procédures
Plan d’audit
QuestionnaireQuestionnaire
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Définition : AuditDéfinition : Audit
C’est un ProcessusC’est un Processus
systématiquesystématique,,
systémiquesystémique indépendantindépendant
Enjeux
Méthodologies
Mét i t isystémique,systémique, indépendantindépendant
etet documentédocumenté en vueen vue
d’obtenir desd’obtenir des preuvespreuves
Métriques-taxonomies
Aspects a examiner
Continuité du
pp
d’auditd’audit et de leset de les évaluerévaluer
de manièrede manière objectiveobjective pourpour
dét i d lldét i d ll
Continuité du
processus
Indépendance de
déterminer dans quelledéterminer dans quelle
mesuremesure les critères d’auditles critères d’audit
sontsont respectésrespectés
Indépendance de
l’auditeur
Ciblage de
ou
zi
sontsont respectésrespectés l’investissement
sécurité
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Types d’auditTypes d audit
Audit Interne
Audit ExterneAudit Externe
Audit tierce partie (accréditation)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Niveaux d’auditNiveaux d audit
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Démarche audit ISO-19011Démarche audit ISO 19011
Autorité pour manager le
programme d'auditp g
(5.1)
Etablissement du programme d'audit
(5.2, 5.3)
Objectif et Etendue
Planifier
Objectif et Etendue
Responsabilités
Ressources
Procédures
A i Mise en oeuvre du programme d'audit
(5.4, 5.5)
Programme des audits
Evaluation des auditeurs
Pilotage des activités d'audit
Conservation des
i t t
Amélioration du
programme d'audit
(5.6)
Compétences et
évaluation des auditeurs
(Article 7)
Activité d'audit
Faire
Agire
enregistrements
Surveillance et revue du programme d'audit
(5.6)
Surveillance et revue
(Article 6)
Vérifier
ou
zi
Surveillance et revue
Détermination des besoins en matière
d'actions correctives et préventives
Identification des opportunités
d'amélioration
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Délivrables auditDélivrables audit
Rapport d’audit
AO
Rapport de synthèse
InsuffisancesAO
Structure administrative organisationnelle
Schéma des processus audités
Insuffisances
Recommandations
Insuffisances
Recommandations
Plan d’action sécurité
Proposition d’architecture de sécurité
Statement of applicability+mitigationRecommandations
AP
Schéma physique sites-locaux
Schéma physique réseau
Statement of applicability mitigation
Planning d’action sécurité
Plan d’investissement sécurité
Rapport d’analyse des risques
Risques potentiels
Schéma physique réseau
Insuffisances
Recommandations
AT
Etat Niveau des risques
Etat de classification des assets
Tableau de choix des mesures
Acceptation
ExternalisationAT
Schéma logique réseau (segmentation-
protocoles-flux)
Statistiques sondage des OS et software
Statistiques des services
Externalisation
Prévention
Correction
Détection
Maitrise
ou
zi
Statistiques dynamique des flux (par
protocoles, S.E.)
Analyse de vulnérabilités (OS-Services-
App.-Equipements)
Insuffisances
Evaluation des mesures
Applicabilité
Efficacité
ddou
riFao
eniorC
ertifié
A
N
SI
Recommandations
M
r
M
ad
A
uditeurSen

Modèle PDCA et ISMSModèle PDCA et ISMS
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Politique de SécuritéPolitique de Sécurité
L’objectif est, pour la Direction, de:
Exprimer formellement la stratégie de sécurité de l’organisation
Communiquer clairement son appui à l’implémentation.
Un document exposant la politique de sécurité
doit être approuvé
Ce document doit être révisé et adapté périodiquement en
prenant en compte l’efficacité de ses mesures, le coût et l’impact
d t ôl l’ ti ité l ff t d é l tides contrôles sur l’activité, les effets des évolutions
technologiques.
La sécurité est une responsabilité partagée par tous les membres
de l’équipe de directionde l équipe de direction.
Un comité de direction multifonction doit être formé pour assurer
un pilotage clair et une visibilité élevée de l’engagement de la
direction
ou
zi
direction.
Ce comité définit les rôles et responsabilités, les méthodes et
procédures, approuve et supporte les initiatives de promotion et
de communication internes.
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Analyse des risques (démarche)Analyse des risques (démarche)
Ch i d’ t iChoix d’une taxonomie
Identification des risques/menaces
E al ation des risq es (fréq ences impacts)Evaluation des risques (fréquences-impacts)
Classification des risques
Choix des mesures (préventives CorrectivesChoix des mesures (préventives-Correctives-
Détection-Maitrise)
Evaluation des contrôles mesures et plansEvaluation des contrôles, mesures et plans
Efficacité
Applicabilité
ou
zi
pp
Révision de la politique de sécurité et
stratégies
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Analyse des risques (RIAMS)Analyse des risques (RIAMS)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen
MF1

Diapositive 50
MF1 schema SASA

Plan d’action sécurité (statement of
li bilit )applicability)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

NormesNormes
ISO-19011 : Audit
BS-7799
Part I : Guide de
bonnes pratiquesp q
Part II : Exigences
ISO-17799ISO-17799
ISO-27001
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Norme BS 7799 ExigencesNorme BS 7799 Exigences
A 3 P liti d é itéP liti d é ité
10 Chapitres
36 Sections
A.3 Politique de sécuritéPolitique de sécurité
A.4 Sécurité OrganisationnelleSécurité Organisationnelle
A 5 Contrôle et classification des assetsContrôle et classification des assets
127 exigences
A.5 Contrôle et classification des assetsContrôle et classification des assets
A.6 Sécurité du facteur humainSécurité du facteur humain
A.7 Sécurité environnementale et PhysiqueSécurité environnementale et Physique
A.8 Communications et Gestion deCommunications et Gestion de
l’Exploitation opérationnellel’Exploitation opérationnelle
A.9 Control d’accèsControl d’accès
A.10 Développement et maintenanceDéveloppement et maintenance
systèmessystèmes
A 11 Management de la continuité/repriseManagement de la continuité/reprise
ou
zi
A.11 Management de la continuité/repriseManagement de la continuité/reprise
d’activitéd’activité
A.12 Conformité légale et techniqueConformité légale et technique
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Norme ISO 17799 ExigencesNorme ISO 17799 Exigences
A 3 P liti d é itéP liti d é ité
10 Chapitres
m Sections
A 5 Contrôle et classification des assetsContrôle et classification des assets
k exigences
A.5 Contrôle et classification des assetsContrôle et classification des assets
A.6 Sécurité du facteur humainSécurité du facteur humain
A.8 Communications et Gestion deCommunications et Gestion de
A.10 Développement et maintenanceDéveloppement et maintenance
systèmessystèmes
A 11 Management de la continuité/repriseManagement de la continuité/reprise
ou
zi
A.11 Management de la continuité/repriseManagement de la continuité/reprise
d’activitéd’activité
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Bref HistoriqueBref Historique
British Standards BS7799
BS7799-1 Début 1996 –Code de pratique pour la
gestion de la sécurité de l’information
BS7799-2002 –Spécifications pour le management
d l é ité d l’i f tide la sécurité de l’information
BS 7799-1 est passé Standard International
ISO1 99 dé b 2000ISO17799 en décembre 2000
Révisée en 2005
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Norme ISO-17799Norme ISO 17799
Code de pratiques pour la gestion de
sécurité de l’information
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Qu’est ce que ISO-17799 ?Qu est ce que ISO 17799 ?
Un ensemble de contrôles exhaustifs
basés sur les meilleures pratiques enp q
sécurité des informations
En bref:
un référentiel reconnu par un standard
international
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Pourquoi ISO-17799 ?Pourquoi ISO 17799 ?
Servir de référence unique pour
identifier l’ensemble des contrôles nécessaires
pour sécuriser les systèmes d’information dans les
organisations
F ilit l é h d l i t dFaciliter les échanges dans les environnements de
confiance:
L t i t é l l iLes partenaires peuvent évaluer leurs niveaux
de sécurité respectifs avant de connecter leurs
tè d i d
ou
zi
systèmes, ou de communiquer des
informations.
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Structure de la norme ISO-17799Structure de la norme ISO 17799
1
Politique
de sécurité
Les 10 Chapitres
2
3
Organisaion de
la sécurité
Classification et
contrôle des actifs
C
onfor
Les 10 Chapitres
de l’ISO 17799
10
contrôle des actifs
Sécurité
liée au
l
Sécurité
physique et
de l’environ
Exploitation
et réseaux
Contrôle
accès
logique
Développement
et maintenance
orm
ité
4 5 6 7 8
9
personnel nement logique
des systèmes
Continuité d’activité
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Norme ISO 27001 ExigencesNorme ISO 27001 Exigences
11 Chapitres
39 Sections
A.7 Management des assetsManagement des assets
131 exigences
A.8 Sécurité des Ressources HumainesSécurité des Ressources Humaines
A 10 C i ti t G ti dC i ti t G ti dA.10 Communications et Gestion deCommunications et Gestion de
A.12 Acquisitions, Développement etAcquisitions, Développement et
maintenance systèmes d’informationmaintenance systèmes d’information
A.13 Management des Incidents de sécuritéManagement des Incidents de sécurité
ou
zi
A.14 Aspects de sécurité du management deAspects de sécurité du management de
continuité/reprise d’activitécontinuité/reprise d’activité
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Méthodologies d’auditMéthodologies d audit
MEHARIMEHARI
MARION
eBIOS
GAEGAEGAEGAE
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

QuestionnairesQuestionnaires
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Méthodologies d’analyse de risquesMéthodologies d analyse de risques
SASA
Marion
Etude de cas
SASA
Mehari
Cobit
Méthodologie
hybride ONTCobit
MELISSA
hybride ONT
INCAS
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Méthodologies d’analyse de risques
(SASA t d d l ti it dit)(SASA standard analytic security audit)
de sécurité
Menaces
Controles/mesures de s
Vulnérabilités/Failles/Faiblesses
Assets/ETDH
ou
zi
Impacts
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

SASA (Notation)SASA (Notation)
Ai Asset (Biens, E-D-T-H)
wi
bj
Lij
V
Importance de Ai
Contribution dans le chiffre d’affaire
Chiffre d’affaire perdu dans Ai à cause de Tj
Vulnérabilité de Ai face a TjVij
vijk
Sij
s
Vulnérabilité de Ai face a Tj
Kème vulnérabilité de Ai/Tj
Contrôle de sécurité de Ai <>Tj
Kème Contrôle de sécurité Ai/Tjsijk
Tj
tij
ζ
K Contrôle de sécurité Ai/Tj
Menace Tj
Probabilité d’occurrence de Tjζj
Ω={Ai}i=1..n={A1 ,A2 ..An}
θ={Tj}j=1..m={T1 ,T2 ..Tm}
R[]{}
Probabilité d occurrence de Tj
Organisme/Entreprise
Ensemble des menaces
Risque causé par Tj à Ai
ou
zi
R[]{}
BR
RR
BVC
q p j
Risque de base (avant App. mesure de sécurité)
Risque résiduel (arpès App. mesure de sécurité)
Capacité de production de chiffre
d’ ff i / ti
ddou
riFao
eniorC
ertifié
A
N
SI
BVC
n, m, ki
d’affaire/metier
M
r
M
ad
A
uditeurSen

(SASA t d d l ti it dit)(SASA standard analytic security audit)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

(SASA M th ti l h))(SASA Mathematical approach))
[ ]( )R A T ζ ib
1.. , 1..[ ]( )ji j i j i ij j j m i nL R A T b t bζ = == =
[ ]( )j i i ijR A T tζ=
1
i
i n
i
i
b
w
b
=
=
∑
1
[ ]( ) . [ ]( )
m
i j j i
j
R T w R A T
=
Ω = ∑
1
1 ik
ijk
ij ijk
ki i
v
t v
k k=
= =∑
1 1
[ ] . [ ]( )
m n
j j i
j i
R w R A T
= =
Ω = ∑ ∑
'
1
1
.(1 )
ik
ijk
ij ijk ijk
ki i
v
t v s
k k=
= − =∑
ou
zi
[ ]{ } * * *(1 )i j k j ij ij
i j
BR A T t V Sζ τξ= −∑∑
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas SASA (Infrastructure)Etude de cas SASA (Infrastructure)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 1 : SASA (Assets)Etude de cas 1 : SASA (Assets)
Prix Durée Période
Amortissement Coût BVC w
Initial Amorti
wi
A1
Serveur App. 2 000DT 4 ans 3 ans 0 DT 66 816DT .45.45
1
A2
Imprimante Rx 200DT 2 ans 3 ans 67 DT 3 073DT .02.02
A PC Portable 1 800DT 1 an 3 ans 1 200 DT 20 160DT 1414A3
PC Portable 1 800DT 1 an 3 ans 1 200 DT 20 160DT .14.14
A4
PC Exploitation 1 300DT 3 ans 3 ans 0 DT 57 600DT .39.39
ou
zi
5 300DT 1 267DT 147 649DT 100%
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 1 : SASA (threats)Etude de cas 1 : SASA (threats)
ζk tk
T1
Email Intrusion1
T2
Défaillance Electrique
T Déf ill diT3
Défaillance disque
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 1 : SASA (weakness)tude de cas S S ( ea ess)
Vij T1 T2 T3
A1 .61 6
A2
AA3
A44
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 1 :SASA (Security Cntrl’s)tude de cas S S (Secu ty C t s)
Sij T1 T2 T3
A1 .41
A2
AA3
A4
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 2 : SASA (Assets)Etude de cas 2 : SASA (Assets)
Prix Durée Période
Amortissement Coût BVC w
Initial Amorti
bj
wi
A1
stmail.ku.edu $50.000 .715.715
1
A2
$20.000 .285.285
$70 000 100%
ou
zi
$70.000
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 2 : SASA (threats)Etude de cas 2 : SASA (threats)
tk ζk
T1
Probe .6 .41
T2
Remote .5 .33
T Th ft 4 26T3
Theft .4 .26
ou
zi
1.5
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 2 : SASA (weakness)tude de cas S S ( ea ess)
T1 T2 T3
V TFTP U TELNET B IIS4 NIS NAC SENDMAIL 95 No IDVij,k
TFTP-U TELNET-B IIS4 NIS-NAC SENDMAIL-95 No-ID
A1 .8 .6 .6 .6 .4 1.0
A2
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 2 : SASA (Basic Risk Status)( )
BR[A]() L[Ai]Rij T1 T2 T3
BR[A]()
bi L[Ai]
tij
ti1 ti2 ti3
A1 .7 .53 1.0
.715
BR[A1](Tj)
28 175 26 715 $50 000 $35 000BR[A1](Tj)
.28 .175 .26 .715 $50.000 $35.000
A2 .6 .53 1.0
.285
BR[A2](Tj) .24 .175 .26 .675 $20.000 $13.500
BR[](Ti)
269 175 26 70 $70 000 $49 000
ou
zi
BR[](Ti)
.269 .175 .26 .70 $70.000 $49.000
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 2 : SASA (Security Cntrl’s)( y )
T T TT1 T2 T3
A1
TFTP-U TELNET-B IIS4 NIS-NAC SENDMAIL-95 No-ID
1
Vij,k .8 .6 .6 .6 .4 1.0
2 6 8 5 8 8sij,k
.2 .6 .8 .5 .8 .8
V’ij k .64 .24 .12 .3 .08 .2ij,k
A2
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas 2 : SASA (Residual Risk Status)( )
BR[A]() L[Ai]Rij T1 T2 T3
BR[A]()
bi L[Ai]
tij
ti1 ti2 ti3
A1 .7 .53 1.0
.715
BR[A1](Tj)
28 175 26 715 $50 000 $35 000BR[A1](Tj)
.28 .175 .26 .715 $50.000 $35.000
A2 .6 .53 1.0
.285
BR[A2](Tj) .24 .175 .26 .675 $20.000 $13.500
BR[](Ti)
269 175 26 70 $70 000 $49 000
ou
zi
BR[](Ti)
.269 .175 .26 .70 $70.000 $49.000
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

SASA (Assets classification)SASA (Assets classification)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Choix des mesuresChoix des mesures
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Etude de cas SASA (results)Etude de cas SASA (results)
BRATWorksheet Basic Risks of Assets by Threats Worksheet
B i k[ id ](tif )
Statement Of
Applicability
Brisk[aidn](tifn)
tidn aidn aidn aidn aidn BR[Ω](Tj)
A1 A2 A3 A4
T1 0,07 E
T2 M1
T3
Mn (E)nd FZ if E
Secuyrity Program &
Applicability
BR[Ai] 0
wi 0 0 0 0 0 0
wi*CBR[Ai] 0 0 0 0 0 0
Bi 0 0 0 0 0 0 1
wi*BR[Ai]*Bi 0 0 0 0 0 0 0y
Security Posture
BR[] 4 activité(s)
Confidentialité (Tous) Integrité (Tous) Non Répudiation (Tous) Disponibilité (Tous)
NB CIA
BR[]
Mitigation
Security Controls
2 activité(s)
3 activité(s)
3 activité(s)
4 activité(s)
0 : 1 fois 50 ans
1 : 1 fois 10 ans
Probabilité d'occurrence
ou
zi
Security Controls
Efficiancy
1
2
3
4
6 0 : 1 fois 50 ans
1 : 1 fois 10 ans
2 : 1 fois par ans
3 : 1 fois par mois
0 activité(s)
1 activité(s)
1 activité(s)
2 activité(s) 2 : 1 fois par ans
3 : 1 fois par mois
ddou
riFao
eniorC
ertifié
A
N
SI
6
8
12
16
0 : 1 fois 50 ans
Gravité
M
r
M
ad
A
uditeurSen

Méthodologie Hybride d’analyse de
i (MHAR)risques (MHAR)
Taxonomie
Règles et méthodes de calcul
Identification des processus
WA)
1
2
3
Classification
agrammeICHIKAW
4
Données
Processus
Évaluation des risques
iondescauses(dia
Équipements
Données
5
Gravité d’impact Probabilité d’occurrence
probabilité d’occurrence naturelle
existence des mesures
Mesures Documentées ?
smededéterminati
Impact stratégique
Exigence réglementaire
Coûts d’impact (directs+indirects)
ou
zi
Sont elles appliquées ?
elles sont efficaces (suffisantes)
Historique : nbr d’occurrences antérieurs
Tableaux de bord
Mécanis
Détectables et maîtrisables ?
Choix des mesures6
7
ddou
riFao
eniorC
ertifié
A
N
SI
Historique : nbr d occurrences antérieurs
M
r
M
ad
A
uditeurSen

Méthodologie MEHARIMéthodologie MEHARI
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Les Attaques logiquesg
Les hackers : origines caractéristiquesLes hackers : origines, caractéristiques
Principes et Méthodes
Classification
Remèdes
ou
zi
e èdes
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaques et MenacesAttaques et Menaces
Attack = Goal+Method+Vuln.
A = G + M + VA = G + M + V
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaques et MenacesAttaques et Menaces
O i iOrigines
Objectifs
Acte rsActeurs
Moyens
Profile de pirate (hacker)Profile de pirate (hacker)
Motivation (reconnaissance,
concurrence,démotivation, intellectuelle,religieuse,co cu e ce,dé o a o , e ec ue e, e g euse,
idéologique..)
Disponibilité
S i
ou
zi
Savoir
Persuasive/ténacité
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Types d’attaques et MenacesTypes d attaques et Menaces
P t l i Codes malveillants :Protocolaire
Implémentation
Configuration
Codes malveillants :
Virus, Vers
Bombes logiquesg
Architecturale Mochards/espiogiciels
Cheval de troie
Attaques directes:q
Intrusions
Deny Of Services (DoS)
UsurpationUsurpation
Interposition
Empoisonnement(spoofing)
E i / t ( iffi )
ou
zi
Espionnage/ecoute(sniffing)
Smurfing/Masquarading
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Remèdes aux code-malveillantRemèdes aux code malveillant
Vi V A ti iVirus, Vers
Bombes logiques
Mochards/espiogiciels
Antivirus
Antispam
Signature numériquep g
(spyware)
Cheval de Troi-troyen (back-
door)
g q
d’origine de contenu
Filtrage de flux
Anti-Spyware)
Spam
Adware
P bli i l (F )
Anti Spyware
Backup-reprise
Norton Goback
Publiciel (Freeware)
Partagiciel (Shareware)
Logiciels Libre (OpenSource-
Service reprise XP
Norton Ghost+NLite
RDP/MS
ou
zi
g ( p
copyletfted)
Logiciel Privés (copyrighted)
RDP/MS-
SMS/HPOpenView-
SaberLANManager
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Injection de code SQLAttaque : Injection de code SQL
Principe : Introduction de mots clés et jokers dans des champs de0101 p j p
formulaires destinés au données pour détourner la logique d’exécution.
Principe/méthode Remèdes
0101
• Contrôle de saisie*
• Analyse de contenu de
formulaires
SELECT *
FROM Personnel P
WHERE P.Nom='' OR 1=1 OR '' OR 1=1 OR ''
formulaires
• Architecture composentielle
(4-tiers)
• Usage des mécanismes
AND P.Matricule='blablablablablabla';
Usage des mécanismes
SGBD (procédures
cataloguées)SGBD :
MySQL
scripts php
ou
zi
BD
Serveur Web:
Service HTTP:Apache/EasyPHP
Poste Client :
Logiciel Navigateur web :Internet Explorer
Tour
URL
HTML
scripts php
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Scénario: Page web dynamiqueScénario: Page web dynamique
Principe : Page Login.htm renvoi les données vers une page de script qui se connecte a
0000
Principe/méthode
p g g p g p q
la BD, vérifie la validité et répond soit par OK Connecté soit par Erreur et redirection vers
Login.htm.
Remèdes
0000
•SELECT *
FROM Personnel P
WHERE P.Nom=‘AliAli'
AND P.Matricule=‘9828734698287346';
SGBD :
MySQL
scripts php
I
ou
zi
BD
Serveur Web:
Poste Client :
Tour
URL
HTML
scripts php
II
ddou
riFao
eniorC
ertifié
A
N
SI
II
M
r
M
ad
A
uditeurSen

Attaque : Faille unicodeAttaque : Faille unicode
Principe : Surpassement du contrôle serveur à l’aide de codes de caractères
é i d l’URL f i é t d d tè0202 spéciaux dans l’URL, pour faire exécuter des commandes systèmes.
Remèdes•Principe/méthode
0202
Patch S.E.
Correctif des services HTTP
p
http://IP_SERVEUR/scripts/..%255c../win
nt/system32/cmd.exe?/c+dir+c:y
%255c "%25" => ‘%’
“%5c” => ‘’
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Cross Sites Scripting
(XSS)(XSS)
Principe : Introduction de morceaux de code script au travers de0303 p p
formulaires mal implémentés et à faire exécuter par le serveur.
Remèdes
P i i / éth d
0303
Contrôle de saisie
Utilisation de fonctions
d’évaluation
<script>alert(123);</script>
Principe/méthode
d’expressions et de
conversion du langage
SGBD :
MySQL
scripts php
Outils :
•XSS Me
•Injection via web-email/site
ou
zi
BD
Serveur Web:
Poste Client :
Tour
URL
HTML
scripts php Injection via web email/site
forums, web-chat, Bultin-
boards
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette : Page1.aspMaquette : Page1.asp
1. <HTML>
2. <HEAD>
3. <TITLE>Maquette XSS (By Maddouri Faouzi)</TITLE>
1. <HEAD>
4. <BODY>
5. <FORM method="GET" Action="Page2.asp">g p
6. Texte à envoyer : <br>
7. <input name="txtField" value="Test"><br>
8 <input name="btnEnvoi" Type="Submit" value="Enoyer">8. <input name= btnEnvoi Type= Submit value= Enoyer >
9. <input name="btnCancel" Type="Reset" value="Annuler">
10. </FORM>
/
ou
zi
11. </BODY>
12. </HTML>
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette : Page2.aspMaquette : Page2.asp
1. <HTML>
2. <HEAD>
3 <TITLE>Maquette XSS (By Maddouri Faouzi)</TITLE>3. <TITLE>Maquette XSS (By Maddouri Faouzi)</TITLE>
4. <%
5. Txt=Request.QueryString("txtField")
6. %>
7. </HEAD>
8. <BODY>
9. Texte reçu : <br><%=Txt%>
10 </BODY>
ou
zi
10. </BODY>
11.</HTML>
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Ecoute-Détournement (Sniffing)ttaque coute étou e e t (S g)
Principe : Capture de paquets réseaux transitant entre le client et le0404 p p p q
serveur et extraction des données critiques (mots de passes etc.).
•Principe/méthode Remèdes
0404
Principe/méthode • Chiffrement de flux HTTP
• Changement périodique et
systématique de clés de
chiffrement
• Limitation de la durée des
sessions
SGBD :
MySQL
scripts php
ou
zi
BD
Serveur Web:
Poste Client :
Tour
URL
HTML
scripts php
Outils :
•Ethereal Wireshark
•Nmap
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque DOS : avec Robots et anti-robotsAttaque DOS : avec Robots et anti robots
Principe : usage de programmes automatisés de devinette de connexion ou
d’ t d t ( i t t) d j ’à l t ti0505 d’ouverture de compte(enregistrement) aupres du serveur jusqu’à la saturation.
Principe/méthode
0505
Principe/méthode
Remèdes
Usage des mécanismes anti-robots
Usage de sonde IDS
5+3 = ?
ou
zi
Usage de sonde IDS
Ajustement dynamique des regles de
Pare-feux
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette: [Partie 1] Concepts Sockets
Mode Connecté
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette: [Partie 1] Concepts Sockets
Mode non Connecté
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette: [Partie 2] Sockets Client/ServeurMaquette: [Partie 2] Sockets Client/Serveur
1. #include<socket.h>
2. #include "util.c"
1. #include<socket.h>
2. #include "util.c"
3. main()
4. {
5. int x,y,z,s1,s2;
6. char ch;
7. SOCK_ADDR_IN mon_add1;
//Création de socket
3. main()
4. {
5. int s;
6. char c;
8. s=socket(AF_INET, SOCK_STREAM,0);
9. myselfadress(mon_add1);
10. bind(s1,mon_add1, sizeof(mon_add1));
11. listen(s1,10);
12. for(;;)
13. {
7. SOCK_ADDR_IN mon_add;
//Création de socket
8. s=socket(AF_INET, SOCK_STREAM, 0);
//Récupération de l’@IP du serveur
14. s2=accept(s1, mon_add1, sizeof(mon_add1));
15. if(fork()==0)
16. {
17. close(s1);
18. read(s2,&ch,1);
19. x=atoi(ch);
9. Raddress(mon_add, "<URL>", 2048);
10. bind(s,mon_add, sizeof(mon_add));
11. connect(s,mon_add, sizeof(mon_add));
12. write(s,"5",1);
( );
20. read(s2,&ch,1);
21. y=atoi(ch);
22. z=x+y;
23. write(s2,z,sizeof(z));
24. close(s2);
25 exit(0);
ou
zi
13. write(s,"3",1);
14. read(s,&c,1);
15. close(s);
16. }
25. exit(0);
26. }
27. else
28. {
29. close(s2);
30. }
31 }
ddou
riFao
eniorC
ertifié
A
N
SI
}
31. }
M
r
M
ad
A
uditeurSen

Maquette: [Partie 2] Sockets Client/ServeurMaquette: [Partie 2] Sockets Client/Serveur
//util.c
1. void myselfadress(struct sockaddr_in *s_loc)
2. {
3. s_loc->sin_family=AF_INET;
4. s_loc->sin_port=0; // le port sera alloué dynamiquement
5. s_loc->sin_addr.s_addr=INADDR_ANY; /*adresse joker*/
6. }
7. void Raddress(struct sockaddr_in *s_r, const char *rhost, int port)
8. {
9. struct hostent *h;
10. s_loc->sin_family=AF_INET;
11. s_loc->sin_port=htons(port);
12. if(h=gethostbyname(rhost))==0)
13. {
14. fprintf(stderr, "%s : machine inconnue", rhost);
15. }
ou
zi
}
16. bcopy((char*)h->h_addr,(char*)s_r->sin_addr,h->h_length);
17. }
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette : [Partie 3] Générateur de formulairesMaquette : [Partie 3] Générateur de formulaires
1. Stmtform="<HTML><HEAD><TITLE>Maquette XSS (By Maddouri Faouzi)</TITLE></HEAD><BODY>";
2. Randomize()
3. For(;1=1;)
4 {4. {
1. Nom=rand()
2. Prenom=rand()
3. Pays=rand()
4. …
5. strForm = "<FORM name=f1 method=GET action=page2.asp>"
6. strForm = "<input name=NAME value=" & Nom & ">"
7. strForm = strForm & "<input name=PRENOM value=" & Prenom & ">"
8. strForm = strForm & "<input name=PAYS value=" & Pays & ">"
9. …
10. strForm = strForm & "</FORM>"
ou
zi
11. Stmtform = Stmtform & strForm & "</BODY></HTML>";
12. SoumiseFormBySocket(Stmtform)
5 }
ddou
riFao
eniorC
ertifié
A
N
SI
5. }
M
r
M
ad
A
uditeurSen

Attaque : Buffer OverflowAttaque : Buffer Overflow
Principe : Débordement d’une zone mémoire sur une autre, modifiant celle-ci d’une façon
l t i t ét dié fi d dét l f ti t d tè / i0606 volontaire et étudiée afin de détourner le fonctionnement du système/service
Principe/méthode
0606
Principe/méthode
Remèdes
Analyse des logs et surveillance
Tests de stresse et de résistance
ou
zi
Tests de stresse et de résistance
Certification du code source
Audit applicatif
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Brute ForcingAttaque : Brute Forcing
Cryptanalyse0707 Cryptanalyse
Principe/méthode
0707
Principe/méthode
Remède
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : UsurpationAttaque : Usurpation
08080808
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : TCP connection killingAttaque : TCP connection killing
09090909
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : DoSAttaque : DoS
10101010
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : DDoSAttaque : DDoS
11111111
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Ping of DeathAttaque : Ping of Death
12121212
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : InterpositionAttaque : Interposition
g1313 g
Principe/méthode
1313
Principe/méthode
Remède
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque: IP spoofingAttaque: IP spoofing
14141414
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque: Empoisonnement (ARP spoofing*)Attaque: Empoisonnement (ARP spoofing )
15151515
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : DNS spoofingAttaque : DNS spoofing
16161616
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Email spoofingAttaque : Email spoofing
17171717
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque: ICMP redirect et destination
unreachable
g1818 g
Principe/méthode
1818
Principe/méthode
Remède
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : TCP hijackingAttaque : TCP hijacking
19191919
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Ecoute-Détournement (Sniffing)Attaque : Ecoute Détournement (Sniffing)
20202020
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : SmurfingAttaque : Smurfing
21212121
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : TCP SYN FloodingAttaque : TCP SYN Flooding
TCP three way handshake2222 TCP three-way handshake
Principe/méthode
2222
Principe/méthode
SYNSYN x
SYNy, ACKx+1
LISTEN
Remède
ACK y+1
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : TeardropAttaque : Teardrop
23232323
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : LandAttaque : Land
24242424
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque: Email Bombing / SpammingAttaque: Email Bombing / Spamming
25252525
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : UDP bombingAttaque : UDP bombing
26262626
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : FTP bounceAttaque : FTP bounce
27272727
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Prédiction des numéros de
é d TCPséquence de TCP
28282828
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : Vol de session TCPAttaque : Vol de session TCP
29292929
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: dump/capture de paquetsAttaque Wifi: dump/capture de paquets
30303030
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: adhoc et pot de miel (honey pot)Attaque Wifi: adhoc et pot de miel (honey pot)
31313131
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: Forger des paquets/Facked IPAttaque Wifi: Forger des paquets/Facked IP
32323232
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: Forcer un traffic SSIDAttaque Wifi: Forcer un traffic SSID
33333333
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: Explorer les SSID cachésAttaque Wifi: Explorer les SSID cachés
34343434
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: Man In The MiddleAttaque Wifi: Man In The Middle
35353535
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: SpoofingAttaque Wifi: Spoofing
36363636
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: crack WEPAttaque Wifi: crack WEP
37373737
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: crack WPAAttaque Wifi: crack WPA
39393939
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque Wifi: crack WPA2Attaque Wifi: crack WPA2
40404040
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Attaque : mise en place d’un virus/verreq p
Principe :4141 p
d’exécution.
4141
• cataloguées)
SGBD :
MySQL
scripts php
ou
zi
BD
Serveur Web:
Poste Client :
Tour
URL
HTML
scripts php
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Maquette : mise en place d’un virus/verreq p
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architectures de sécurité:
ou mettre mes serveurs critiques?ou mettre mes serveurs critiques?
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture usuelle (non sécurisée)Architecture usuelle (non sécurisée)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architectures de sécuritéArchitectures de sécurité
Quels choix ? Où mettre mes serveurs
critiques?q
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Techniques de défense et paradesTechniques de défense et parades
NAT
S-NAT
D N t
Filtrage
Par paquet
P Ad SD-Nat
PAT
S PAT
Par Adresse Source
Par Adresse
Destination
S-PAT
D-PAT
Par port Source
Par port Destination
Par Interface d’Entrée
Par Interface de Sortie
Par protocole
ou
zi
Par protocole
Par contenu (mots clés
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Equipements de défenseEquipements de défense
Switcher (VLAN’s)
Routeur (ACL)
Firewall (ACL,Login-pwd, Filtrage)
ou
zi
Proxy Cache (NAT)
Sonde-Détecteur Intrusion
(A l d fl t t l )
ddou
riFao
eniorC
ertifié
A
N
SI
Proxy-Cache (NAT) (Analyse de flux comportementale)
M
r
M
ad
A
uditeurSen

Architecture à Proxy-cacheArchitecture à Proxy cache
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à Reverse-ProxyArchitecture à Reverse Proxy
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à barrière pare-feu frontalArchitecture à barrière pare feu frontal
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à pare-feu interne
(IFW)(IFW)
Jacque@laval.ca
201.1.2.3
Compatible IBM
Client
Université Laval-Département B
www.laval.ca
201.1.2.50
pop.laval.ca
smtp.laval.ca Client
Jacque@laval.ca Jacque@laval.ca
201.1.2.3
Compatible IBM
201.1.2.3
Compatible IBM
ou
zi
Université Laval-Département A
www.laval.ca
201.1.2.50
pop.laval.ca
smtp.laval.ca ClientClient
Université Laval-Département C
www.laval.ca
201.1.2.50
pop.laval.ca
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à pares-feu en cascadeArchitecture à pares feu en cascade
LS
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à pare-feu hôte
(HFW)(HFW)
Internet FSI-FAI
LS
Modem
Modem
Compatible IBM
ou
zi
Université Laval
www.laval.ca
201.1.2.50
pop.laval.ca
ddou
riFao
eniorC
ertifié
A
N
SI
Université Laval
M
r
M
ad
A
uditeurSen

Architecture à DMZArchitecture à DMZ
Réseau avec niveau
Réseau non digne
de confiance
Réseau avec niveau
de confiance X
ALERT!!Firewall
InternetRéseau local
ALERT!!
Routeur
InternetRéseau local
DMZ
ou
zi
Serveurs accessibles
depuis le réseau Internet
ddou
riFao
eniorC
ertifié
A
N
SI
p
Réseau avec Niveau de confiance Y
M
r
M
ad
A
uditeurSen

Architecture ZAArchitecture ZA
Internet
FSI-FAI
Modem
LS
ZA (Console d’administration)
Modem
Client Client
ZA (Console d administration)
ou
zi
Intranet
ddou
riFao
eniorC
ertifié
A
N
SI
DMZ (Serveurs Extranet)
M
r
M
ad
A
uditeurSen

Détecteurs d’Intrusion (Sonde-IDS)Détecteurs d Intrusion (Sonde IDS)
Réactive
Journalisation des
intrusions
Comportementale
Base de règles
Att Tintrusions
Intervention manuel
Proactive (IPS)
Attaques Types
Nécessite la mise a
jourProactive (IPS)
Intervention
automatisée
jour
Sémantique
Lourdeur d’analyse
Cohabitation intégrée
avec d’autres
t d é ité
Lourdeur d analyse
Détection des injection
de code
ou
zi
composants de sécurité
(FW, ACL,VLAN)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à Sonde frontale (IDS)Architecture à Sonde frontale (IDS)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à IDS hôte (HIDS)Architecture à IDS hôte (HIDS)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à IDS Interne (i-IDS)Architecture à IDS Interne (i IDS)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture à IDS Distribué (NIDS)Architecture à IDS Distribué (NIDS)
ou
zi
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Architecture SUS+AntiVUPArchitecture SUS AntiVUP
Téléchargement 1 Antivirus hôteTéléchargement
centralisé de mise a
jours et correctifs
1. Antivirus hôte
2. Antivirus
Réseau/Centralisé
Intégrité des mise a
jours
3. Antivirus de flux
(internet)
jours
Optimisation des bandes
passante
P li i d i j
Journalisation
centralisée des
i f iPolitique de mise a jours
généralisée
systématique et
infections et
quarantaines
Analyse et statistiques
ou
zi
y q
automatisée
Analyse et statistiques
depuis console
d’administration (ZA)
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Outils de défenseOutils de défense
Supervision Réseau
Proxy
Supervision Réseau
HPOpenView
NetworkView
Proxy
Wingate
ProLAN 600
Squid (OpenSource)
SunNetManager
Sondes
SNORT (OpenSource)
q ( p )
AntiVirus
Claim(OpenSource)
Kaspersky (KAV-KIS)
SNORT (OpenSource)
Cisco Secure IDS
Firewalls
Symantec Norton (NAV/SCE-
NIS)
Avast, AVG
Sophos
ISA Server, NIS, KIS
CheckPoint
Fortigate Cisco PIX
Sop os
USBDiskSecure
FSecure
Journaux
ou
zi
Fortigate, Cisco PIX
IPTable/IPChain(OpenS
ource)
IPCOPS (OpenSource)
Syslog
AntiSpyware
Spybot (OpenSource)
ddou
riFao
eniorC
ertifié
A
N
SI
IPCOPS (OpenSource)
M
r
M
ad
A
uditeurSen

Architecture SommaireArchitecture Sommaire
ou
zi
ddou
riFao
SeniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSe

Outils d’attaque et de TestOutils d attaque et de Test
ge
Outils
RxetAdressag
x&Ports
érabilités
esdefiltrage
Outils
econnissanceR
ndageOS
uxRéseaux
dageServicesRx
nalysedeVuln
rewallsetregle
outeursetACL
Re
So
Flu
So
An
Fir
Ro
NetworkView •
NEWT (Sondage OS) •
IRIS (Flux réseaux) •
N ( t t )Nmap (ports ouverts) •
ethereal (Analyse de flux Rx) •
Internet Security Scanner • • •
Nessus • • •
GFI Languard • • •
ou
zi
GFI Languard • • •
Retina • •
Firewalk •
Cisco Scanner •
Microsoft Baseline SecAnalyser •
ddou
riFao
SeniorC
ertifié
A
N
SI
Microsoft Baseline SecAnalyser •
M
r
M
ad
A
uditeurSe

Catégo
Foncti
Logicie
Nmap
TCPTr
Trace
NetCa
Visio
HPOp
Netwo
SunN
cheop
Pof
Xprob
Vlad
NMap
NetCa
NMap
Nsat
Ntop
Blaste
IPTraf
Nessu
Sara
Intern
Saint
Whisk
N-Ste
Dh_ca
Wh_w
NetCa
NMap
Trace
Firew
Filter
Hping
DSnif
ARPS
MACF
DetSc
VGLog
SNMP
TNScm
Karm
AppD
Datab
orie
onnalité
el
p
raceroute
route
at
penView
orkView
etManager
ps
be
p
at
p
erScan
f
us
netSecurityScan
ker
ealth
an
webserver_fingerP
at
p
Route
alk
rules
g2
ff
Spoof
Flood
can
g
PAudit
md.pl
a
etetive
basescanner
Reconnissance Rx, cartographie et Adressage
S d OS
RxO
•
•
•
•
•
•
•
•
•
•
•
•
•
•
nnerISS
Printing
Sondage OS
Sodage Services Rx & Ponts
Analyse de Vulnérabilités
Architecture de Scurité Existante
Firewalls, Proxy-Cache, Reverse proxy
OSArcBDFirePxy
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Attaques Réseaux
Routeurs, Switch, VLAN et ACL
Applications et BD
WIFI/WIMAX/Bluetouth/Tetra
Applications Webifiées
Swh
•
•
•
•
•
•
•
•
•
•
ou
zi
Analyseur de trafic réseau
Attaque de mots de passes
Audit Tools
Audit de code source
ddou
riFao
SeniorC
ertifié
A
N
SI
Analyse de performance
M
r
M
ad
A
uditeurSe

Catég
Fonc
Logic
Ethe
Pcap
Micro
LANG
Lpor
Cisco
IRIS
Retin
Micro
Netw
Tripw
Ethe
AirSn
netst
aircr
wires
KisM
kiswin
urlins
Traffi
Peek
aslea
super
Steal
CIS
John
Hiren
Passw
Back
Knop
Audit
Ratio
Canta
C++T
Insur
CTC+
CTA+
CTM+
QAC
QAC+
Vecto
Open
Web
Apch
1-Lo
2-QA
3-Int
4-QT
ether
wires
Cerbe
Scub
gorie
tionnalité
ciel
ral
p
osoftNetworkMon
Guard
t
oScanner
na
osoftBaselineSecA
workView
wire
ral
nort
tumbler
rack
shark
MAC
n
specteur
cStatistic
k
ap
rscan
th
theripper
n
wordRecoveryKit
Track
ppix
tor
onalPurifyPlus
ata++
Test
e++
++
++
++
++
orCast
nSTA,
Load,
heJemeter
drunner
Aload
troscope
Test
real
shark
erus-Security-Guard
a_by_Imperva
Reconnissance Rx, cartographie et Adressage
Sondage OS
RxOSA
itor
•
Analyser
•
Sodage Services Rx & Ponts
Analyse de Vulnérabilités
Architecture de Scurité Existante
Firewalls, Proxy-Cache, Reverse proxy
Attaques Réseaux
ArcBDFirePxyS
•
•
•
•
•
Routeurs, Switch, VLAN et ACL
Applications et BD
WIFI/WIMAX/Bluetouth/Tetra
Analyseur de trafic réseau
Swh
•
•
•
•
•
•
•
•
•
•
•
ou
zi
Attaque de mots de passes
Audit Tools
Audit de code source
Analyse de performance
ddou
riFao
SeniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSe

ConclusionConclusion
Pas de sécurité absoluePas de sécurité absolue
Pas sécurité définitive
La sécurité est coûteuseLa sécurité est coûteuse
Cibler l’investissement de sécurité
Mi i i l’i t (d é d )Minimiser l’impact (durée+dommages)
Le SI est en changement continue
Les Menaces évoluent
Les failles/vulnérabilités existent-se multiplient
ou
zi
La Sécurité est un travail continue
Nécessité d’un système de suivie : ISMS+RIAMS
ddou
riFao
SeniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSe

Bibliographie-WebographieBibliographie Webographie
A T i i d l C t hi Thé iAgence Tunisienne de la
sécurité informatique
www.ansi.tn
Cryptographie Théorie
et pratique, Douglas
STINSON,Int. THOMSON Pub.
Club de la Sécurité de
l'Information Français
l if f
STINSON,Int. THOMSON Pub.
Paris, 1996.
Cryptography in C and
C++ M c ewww.clusif.asso.fr
Club des développeurs
francophones
C++, Michael
Welschenbach,Apress,
Berkely, 2001.
francophones
www.developpez.com
Sécurité Internet pour
l’entreprise Pare-feux
et au-delà Terry
ou
zi
et au delà, Terry
Bernstein, Anish B. Bhimani,
Eugene Schultz & Carol A.
Siegel, WILEY. Paris, 1997.
ddou
riFao
eniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSen

Merci pour votre attention..Merci pour votre attention..
ou
zi
Bonne chasse..
ddou
riFao
SeniorC
ertifié
A
N
SI
M
r
M
ad
A
uditeurSe

Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?

Similar to Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y prondre, comment la fonder et la batir sur des faits du monde reel? (20)

Seminaire sécurité : Politique de sécurité pour les entreprise, comment s'y prondre, comment la fonder et la batir sur des faits du monde reel?