Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Slides apéri tic e securite 10 2013

801 views

Published on

  • Be the first to comment

  • Be the first to like this

Slides apéri tic e securite 10 2013

  1. 1. E-Sécurité 14 Octobre 2013 CROSASSO Benjamin benjamin@alpinfra.fr @alpinfra
  2. 2. Sommaire • • • • • Les Définitions Les Risques Les Menaces Les Solutions Bonus : Stuxnet
  3. 3. Définition (1/3) • Intégrité – La donnée doit être intègre : • Elle ne doit pas avoir été altérée – Lors du stockage par du matériel défaillant (RAID : détection d’une altération grâce au stockage sur plusieurs disques) – Lors de l’écriture ou de la lecture par un logiciel défaillant • Sauvegarde (restauration, mais uniquement après avoir détecté la corruption) • Antivirus
  4. 4. Définition (2/3) • Disponibilité – La donnée doit être accessible : • • • • Disponibilité du stockage (RAID) Disponibilité du serveur/logiciel qui utilise cette donnée Disponibilité des réseaux transportant l’information Disponibilité du périphérique (Ordinateur, Tablette utilisant cette donnée)
  5. 5. Définition (3/3) • Confidentialité – La donnée ne doit être accessible que par les personnes autorisées : • Nécessité d’identifier/authentifier les utilisateurs • Gestion des droits d’accès à la donnée – Recommandation : tracer les actions des utilisateurs dans un journal.
  6. 6. Risques (1/2) • Dommages financiers : – Disponibilité • Un site web marchand n’est pas utilisable suite à un bug applicatif. Diagnostic et correction : pas de site web pendant x heures. – Intégrité des données • Un virus a modifié la base de données d’un site web marchand en divisant tous les prix par 2 : détection, restauration de la sauvegarde, indisponibilité pendant la restauration • Indisponibilité du site web pendant x heures, des commandes à traiter avec des prix incorrects. – Confidentialité • La base de données du site web a été entièrement téléchargée par l’attaquant : la base de données clients (CB), prix d’achats, etc…
  7. 7. Risques (2/2) • Dégradation de l’image de marque : exemple de Sony – http://www.theregister.co.uk/2011/05/24/sony_p laystation_breach_costs/ – “The cost of a criminal intrusion that exposed sensitive data for more than 100 million Sony customers and resulted in a 23-day closure of the PlayStation Network will cost the company at least $171 million, executives said.”
  8. 8. Menaces • Interne : – Le plus courant : utilisateur de l’entreprise insouciant ou mal intentionné. • Programme malveillant : – Virus, malware (pub, SPAM) • Personne malveillante : – La pire des situations : l’attaque est ciblée et personnalisée – APT (Advanced Persistent Threat)
  9. 9. Comment se propage un malware ? • Action volontaire de l’utilisateur : – Ecran de veille gratuit Aquarium Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les avertissements. • Faille de sécurité : – Exemple côté utilisateur : Internet Explorer – http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028 – Exemple côté serveur web : XSS (Cross Site Scripting) – http://fr.wikipedia.org/wiki/Cross-site_scripting Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte ! Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et Acrobat Reader, demain ?
  10. 10. Marché noir des failles de sécurité • Chercheur en sécurité très honnête : – Informe l ’éditeur, attend le correctif, publie sa découverte – Les éditeurs payent les découvertes : Google, Mozilla par exemple • Chercheur en sécurité honnête : – Informe l ’éditeur, attend 30 jours, publie – Chercheur en sécurité : – Vend la faille de sécurité au plus offrant (certaines failles peuvent dépasser les 100 000 €) • Une faille de sécurité est ensuite associée à un payload (charge utile) pour être utilisée. Windows XP : fin de support en avril 2014
  11. 11. Que faire ? (1/3) • Intégrer la sécurité lors de toute décision touchant le système d’information : – Evaluer à l’aide des trois critères principaux les bénéfices et les risques « La sécurité fait partie des critères pour bien choisir un prestataire. »
  12. 12. Que faire ? (2/3) • Défense en profondeur : – Sensibilisation des utilisateurs • Mise en place d’une charte / guide d’utilisation de l’outil informatique – Sécurité logique • • • • Authentification des utilisateurs, rôles, logs Mises à jour régulières des logiciels Sauvegardes PRA/PCA (Plan de reprise / continuité d’activité)
  13. 13. Que faire ? (3/3) • Défense en profondeur : – Sécurité des transmissions • • • • Firewall IPS / IDS (Intrusion Prevention/Detection System) VPN (Virtual Private Network) Cryptage des données (Clé USB, portables…) – Attention aux clés USB : vecteur d’infection virale très important ! – Sécurité physique • Porte verrouillée • Contrôle d’accès • Vidéo surveillance
  14. 14. Stuxnet • Un malware conçu pour attaquer une cible industrielle déterminée : Installations nucléaires iraniennes => cyber arme • C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels • Le virus s’attaque aux systèmes Windows à l’aide de quatre attaques dont trois « zero day » • En février 2011, Symantec publie une analyse complète de Stuxnet. Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés. http://fr.wikipedia.org/wiki/Stuxnet
  15. 15. Merci

×