Successfully reported this slideshow.

Securite

987 views

Published on

Published in: Business
  • Be the first to comment

  • Be the first to like this

Securite

  1. 1. Le processus de sécurité informatique Du point de vue de la protection des renseignements personnels confiés à l’État Benoît Girard, DIID, MRCI
  2. 2. Introduction <ul><li>Votre mandat: veiller à l’application de la loi sur la protection des renseignements personnels; </li></ul><ul><li>Internet: un contexte nouveau hautement technique; </li></ul><ul><li>L’appréciation des mesures de sécurité entourant les renseignements personnels sur Internet. </li></ul>
  3. 3. Notre approche <ul><li>Quelques définitions et concepts généraux; </li></ul><ul><li>L’univers de la sécurité informatique; </li></ul><ul><li>Quelques repères pour l’exercice de votre mandat quand Internet est en cause. </li></ul>
  4. 4. La sécurité absolue n’existe pas <ul><li>La sécurité est un concept relatif. On est plus ou moins en sécurité qu’avant, plus ou moins qu’ailleurs, mais on ne peut jamais être sûrs d’être parfaitement en sécurité. </li></ul>
  5. 5. La sécurité absolue n’existe pas <ul><li>Parce qu’elle dépend de la conjoncture extérieure (l’apparition de nouveaux risques); </li></ul><ul><li>Parce que les ressources à y consacrer sont limitées. </li></ul>
  6. 6. D’où la nécessité d’évaluer l’opportunité d’investir <ul><li>En fonction de l’importance des données à protéger; </li></ul><ul><li>En fonction de la probabilité d’une fuite. </li></ul>
  7. 7. Quand l’information est-elle sensible? <ul><li>Quand de réels renseignements sont en cause; </li></ul><ul><li>Quand leur divulgation peut porter préjudice aux personnes concernées, même théoriquement; </li></ul>
  8. 8. Comment évaluer la probabilité d’une atteinte? <ul><li>Se méfier des effets déformants de l’inconnu; </li></ul><ul><li>Moins on a l’impression d’être en contrôle de la situation, plus on a tendance à exagérer le risque. </li></ul><ul><li>On doit donc s’employer à dissiper l’inconnu et à garder la tête froide. </li></ul>
  9. 9. Dans un contexte de rareté de ressources, prioriser selon <ul><li>L’intensité du préjudice; </li></ul><ul><li>La probabilité du préjudice; </li></ul>
  10. 10. Usages légitimes et abusifs <ul><li>Dans le cours normal de ses fonctions, l’État doit manipuler des renseignements personnels; </li></ul><ul><li>Notre désir de protéger ces renseignements ne doit pas aller jusqu’à entraver ces manipulations légitimes; </li></ul><ul><li>Il faut savoir faire la distinction entre usages légitimes et abusifs. </li></ul>
  11. 11. L’univers de la sécurité informatique <ul><li>La responsabilité de la sécurité et de la confidentialité des données appartient au premier chef à l’administrateur de réseau informatique branché sur Internet. </li></ul><ul><li>Commençons par tenter de voir le monde de son point de vue. </li></ul>
  12. 12. La sécurité: une préoccupation majeure de l’administrateur <ul><li>Il n’y a pas si longtemps, la première préoccupation de l’administrateur de réseau était de faire fonctionner le réseau; </li></ul><ul><li>Aujourd’hui, cette préoccupation a été remplacée par la sécurité; </li></ul><ul><li>Comment en sommes-nous venus à une telle situation? </li></ul>
  13. 13. Une perspective historique <ul><li>Internet est une création de l’univers UNIX </li></ul><ul><li>Ce qui a eu des implications sur la sécurité. </li></ul>
  14. 14. UNIX est un système « multiusagers » UNIX Terminaux Ordinateur
  15. 15. UNIX doit cloisonner ses usagers UNIX Espaces individuels de travail
  16. 16. UNIX partage ses logiciels UNIX Espaces individuels de travail Système et logiciels communs
  17. 17. Internet loge dans l’espace protégé des logiciels communs UNIX Espaces individuels de travail Système et logiciels communs Internet
  18. 18. Donc, aucun besoin spécial de protéger les « réseaux » UNIX UNIX UNIX UNIX UNIX UNIX UNIX UNIX
  19. 19. Et les communications y circulent en « clair ». Origine Destination UNIX UNIX UNIX UNIX UNIX UNIX UNIX UNIX
  20. 20. L’interconnexion apporte son lot de risques de sécurité PC MacIntosh UNIX UNIX UNIX UNIX UNIX UNIX
  21. 21. Au point de départ, un PC ou un MAC n’est pas sécurisé. MAC Réseau local relié à Internet PC
  22. 22. Les réseaux locaux ont faits des efforts… insuffisants Réseau local Novell MAC Réseau local AppleTalk
  23. 23. La complexité est source de « vulnérabilités » IBM Mainframe Réseau local Novell MAC Internet Réseau local AppleTalk UNIX
  24. 24. Aussi sécuritaire que le World Trade Center
  25. 25. Exemple 1 - WS-FTP Disque dur local Internet Votre site Web Votre site Web WS-FTP Fichier de configuration de WS-FTP (identifiant et mot de passe chiffrés) Copie de travail Copie en ligne
  26. 26. Exemple 1 - WS-FTP Disque dur local Internet Votre site Web WS-FTP Copie de travail Copie en ligne Votre site Web WS-FTP Fichier de configuration WS-FTP installé dans le même répertoire que le site Web
  27. 27. Exemple 2 - Hotmail
  28. 28. Exemple 2 - Hotmail http://lc2.law13.hotmail.passport.com/cgi-bin/dasp/ hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=2&fs=1&cb=_lang%3dEN&ct=1009473462
  29. 29. Exemple 2 - Hotmail http://lc2.law13.hotmail.passport.com/cgi-bin/dasp/ hminfo_shell.asp ? _lang=EN & content=whysign & us=ws & id=2 & fs=1 & cb=_lang%3dEN & ct=1009473462
  30. 30. Exemple 2 - Hotmail _lang=EN content=whysign us=ws id=2 fs=1 cb=_lang %3d EN ct=1009473462
  31. 31. Exemple 2 - Hotmail http://lc2.law13.hotmail.passport.com/cgi-bin/dasp/ hminfo_shell.asp?_lang=EN&content=whysign&us=ws & id=BenGirard &fs=1&cb=_lang%3dEN &ct=1009473462
  32. 32. Exemple III - Le cheval de Troie Ordinateur Internet Fonctions réseau 65536 ports Port WWW Port SMTP Port POP3 Port FTP
  33. 33. Exemple III - Le cheval de Troie Ordinateur Internet Fonctions réseau 65536 ports Port WWW Port SMTP Port POP3 Port FTP Port associé à un logiciel pirate
  34. 34. Exemple III - Le cheval de Troie Partie secrète à l’usage du pirate Partie affichée publiquement, alléchante pour les utilisateurs Logiciel offert gratuitement sur Internet prétendant vous rendre service
  35. 35. Les vulnérabilités <ul><li>Sont des maladresses de programmation qui, associées à la négligence humaine, laissent des trous dans le sécurité des ordinateurs ou des sites Web. </li></ul><ul><li>Pirates et administrateurs de réseaux se font la course, les uns pour ouvrir, les autres pour fermer l’accès aux ordinateurs via ces vulnérabilités. </li></ul>
  36. 36. La situation n’est pas si désespérée qu’elle semble <ul><li>Rassurez-vous, les administrateurs de réseau ne restent pas les bras croisés en attendant les problèmes. </li></ul><ul><li>Regardons maintenant les choses du point de vue « défensif ». </li></ul>
  37. 37. En quoi consiste la sécurité informatique? <ul><li>Authenticité; </li></ul><ul><li>Irrépudiabilité; </li></ul><ul><li>Intégrité; </li></ul><ul><li>Confidentialité; </li></ul><ul><li>Accessibilité. </li></ul>
  38. 38. Authenticité <ul><li>Les documents doivent être préservés dans l’état voulu par leurs auteurs et leurs propriétaires. </li></ul>
  39. 39. Irrépudiabilité <ul><li>L’identité des auteurs de documents ou de gestes consignés de même que celles des signataires des engagements pris doit être confirmée et correctement consignée de façon à empêcher la répudiation ultérieure. </li></ul>
  40. 40. Intégrité <ul><li>Les documents doivent être conservés dans leur état original </li></ul><ul><ul><li>À l’abri de la destruction; </li></ul></ul><ul><ul><li>À l’abri des modifications non-autorisées. </li></ul></ul>
  41. 41. Confidentialité <ul><li>Les documents doivent être à l’abri des regards indiscrets </li></ul>
  42. 42. Accessibilité <ul><li>Les documents doivent malgré tout être accessibles aux usagers autorisés </li></ul>
  43. 43. Les flux d’information État Citoyens et entreprises
  44. 44. Les flux d’information État Internet
  45. 45. Les flux d’information État Internet
  46. 46. Les trois foyers d’application de la sécurité État Internet Entrées et sorties extérieures Circulation interne Protection des lieux de conservation
  47. 47. Les problèmes de sécurité liés à l’entreposage des données Internet Données à protéger Ordinateur passerelle donnant accès à Internet Réseau local
  48. 48. Les problèmes de sécurité liés à l’entreposage des données Internet Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Barrières Données à protéger
  49. 49. Les problèmes de sécurité liés à l’entreposage des données Ordinateur Internet Fonctions réseau 65536 ports Port WWW Port SMTP Port POP3 Port FTP Identification
  50. 50. Les problèmes de sécurité liés à l’entreposage des données Ordinateur Internet Fonctions réseau 65536 ports Port WWW Port SMTP Port POP3 Port FTP Port associé à un logiciel pirate Coupe-feu Identification
  51. 51. Les problèmes de sécurité liés à l’entreposage des données Ordinateur Internet Fonctions réseau 65536 ports Port WWW Port SMTP Port POP3 Port FTP Coupe-feu Anti-virus Identification
  52. 52. Les problèmes de sécurité liés à l’entreposage des données Internet Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Coupe-feu Données à protéger Coupe-feu individuel
  53. 53. Les problèmes de sécurité liés à l’entreposage des données Internet Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Coupe-feu Données à protéger Coupe-feu individuel
  54. 54. Les problèmes de sécurité liés à l’entreposage des données Internet Ordinateur passerelle donnant accès à Internet Coupe-feu Données à protéger Coupe-feu individuel Copie de sûreté
  55. 55. Les problèmes de sécurité durant la communication Internet Réseau local et/ou Intranet Données à protéger Ordinateur passerelle donnant accès à Internet ???
  56. 56. Le problème de la transmission des clés Hello Kedoh Kedoh Hello Clé de chiffrement Internet Internet???
  57. 57. Le chiffrement à clé publique Hello Kedoh Kedoh Hello Internet Pierre Jean Clés publiques De Jean De Pierre Clés privées
  58. 58. Le problème de l’authentification des agents ? ? Pierre?? Jean?? Internet Garant
  59. 59. Le problème de l’authentification des agents ? ? Pierre?? Jean?? Internet Garants A B
  60. 60. Les garants sont dépositaires des clés publiques ? ? Pierre?? Jean?? Internet Garants A B
  61. 61. Un système en voie de développement mais inachevé <ul><li>Les fureteurs modernes gèrent les certificats pour les sites Web de commerce électronique; </li></ul><ul><li>Pour le courrier électronique, la situation est carrément chaotique; </li></ul><ul><li>Pour les autres applications, tout reste à faire. </li></ul>
  62. 62. Pour le courrier électronique... <ul><li>Il n’y a pas encore de standard unique et inter-opérable; </li></ul><ul><li>De nombreuses entreprises vous offriront des systèmes privés de chiffrement; </li></ul><ul><li>Cela exige que vos partenaires adoptent le même fournisseur ou un fournisseur compatible. </li></ul>
  63. 63. L’offre privée permet le « tunneling » Internet Données à protéger
  64. 64. Une stratégie d’intervention <ul><li>Prendre les choses à l’échelle du réseau local; </li></ul><ul><ul><li>Identifiant et mot de passe à tous les niveaux? </li></ul></ul><ul><ul><li>Coupe-feu? </li></ul></ul><ul><ul><li>Anti-virus? </li></ul></ul><ul><ul><li>Chiffrement des fichiers? </li></ul></ul><ul><ul><li>Copies de sûreté? </li></ul></ul><ul><ul><li>Mises-à-jour régulières? </li></ul></ul>
  65. 65. Une stratégie d’intervention <ul><li>Prendre les choses à l’échelle du réseau local; </li></ul><ul><li>La circulation interne des données; </li></ul><ul><ul><li>Le réseau local est-il indépendant d’Internet? </li></ul></ul><ul><ul><li>Les copies accessoires sont-elles éliminées? </li></ul></ul><ul><ul><li>Y a-t-il une politique dissuasive contre les indiscrétions? </li></ul></ul>
  66. 66. Une stratégie d’intervention <ul><li>Prendre les choses à l’échelle du réseau local; </li></ul><ul><li>La circulation interne des données; </li></ul><ul><li>La circulation externe; </li></ul><ul><ul><li>Avec des partenaires réguliers; </li></ul></ul><ul><ul><li>Avec des correspondants ponctuels ou occasionnels; </li></ul></ul>
  67. 67. Une stratégie d’intervention <ul><li>Prendre les choses à l’échelle du réseau local; </li></ul><ul><li>La circulation interne des données; </li></ul><ul><li>La circulation externe; </li></ul><ul><li>Faut-il enquêter? </li></ul>
  68. 68. Une stratégie d’intervention Coûts $ % de sécurité
  69. 69. Conclusion <ul><li>Nous avons fait un rapide tour d’horizon du domaine de la sécurité informatique; </li></ul><ul><li>Il reste bien des choses à dire, évidemment; </li></ul><ul><li>Nous espérons qu’il vous aidera dans l’exercice de vos responsabilités; </li></ul><ul><li>Nous travaillons ensemble pour le bien des citoyens. </li></ul>

×