Que retenir ?
(de vos cours 3IF et 4IF en réseaux-sécurité)
Référentiel de compétences Réseaux-Sécurité (1/2)
(2016)
Référentiel de compétences Réseaux-Sécurité (2/2)
(2016)
Rappels : quelques protocoles de base...
• Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP, SNMP, routage, authentification, IPSEC, ATM, POP, SMTP, HTTP, TELNET, NFS, DNS et algos : DES, RSA, MD5, SHA…
• L’objectif n’est pas de connaître ces protocoles par
cœur mais de connaître leur structure et de comprendre
leurs fonctionnalités et limitations
Application réseau / système réparti = système complexe (I)
• Concevoir une application réseau est un assemblage complexe
– comprendre les besoins
– installer - réserver les tuyaux (dimensionnement) – structurer l’application
• patrons de sécurité (security patterns)
• sous-réseaux - réseaux virtuels - plan d’adressage
• tolérance aux fautes
• tolérance aux catastrophes
• survivabilité
– sécuriser l’application
• mécanismes d’authentification
• cryptage
• gestion de droits (autorisations)
• pare-feux - réseaux virtuels – VLAN - etc.
Application réseau = système complexe (II)
– définir les protocoles
• architecture logicielle
• schémas de communication
• librairie de communication
• Algorithmique
– interfacer l’application
• interface systèmes sous-jacents (archives, SGBD, serveurs de noms, serveurs « sécurité », moteurs transactionnels…)
– administrer l’application
• architecture d’administration
• outils d ’administration, monitoring
Transparence
• Le Graal des systèmes répartis
• La condition de leur utilisation
• Solutions et outils génériques
• Tolérance aux fautes et gestion de la qualité de service
KISS : Keep It Simple and (a bit) Stupid
Everything should be made as simple as possible [as it can be], but not simpler (A. Einstein)
Sécurité – Que retenir ?
Une notion de base : le risque
• Toutes les informations/tous les sous-systèmes n’ont pas la même valeur
• Toutes les informations/tous les systèmes ne sont pas exposés aux mêmes menaces
• Risque = analyse « valeur vs menace »
• Rappel : définition ISO 31000-2009 : « Le risque est l’effet de l’incertitude sur les objectifs »
• Valeur/Menace/Risque ne sont pas des données statiques ; elles dépendent des processus métiers et de l’environnement et évoluent avec eux
Sécurité – Que retenir ? Menaces
• Comprendre les menaces et le fonctionnement de base des attaques
• Analyser les risques, c’est-à-dire relier structure du système et menaces/attaques
• Concevoir /Structurer un système en vue de minimiser les risques… tout en garantissant sa performance
(fonctionnalités, facilité d’utilisation, évolutivité, tolérance
aux fautes/robustesse, coût…) (minimiser l’impact sur
les processus métier !)
Sécurité – Que retenir ? Outils pour la sécurité
• Outils méthodologiques : savoir que cela existe, en comprendre le principe et l’utilité
• Outils techniques : authentification/signature, certificats, contrôle d’accès, pare-feux, VLAN, VPN, etc. : en
connaître les principes, les fonctionnalités, les utilisations, les limites
• Ce ne sont que des outils. L’« intelligence » et l’efficacité résident surtout dans la bonne utilisation de ces outils (sélection, intégration, coordination, placement,
paramétrisation…)
Rappel - Sécurité : idées de base (I)
• Mettre en place une politique globale de gestion du risque
• Séparer les fonctions
• Minimiser les privilèges
• Centraliser les changements
• Cerner les IHM
• Mettre en place de plans de sauvegarde et de reprise
Rappel - Sécurité : idées de base (II)
• Cibler les éléments vitaux/essentiels
• Utiliser des techniques de conception et de programmation standardisées
• Monitorer l’ensemble des éléments de l’entreprise :
systèmes informatiques, réseaux, personnel (traçabilité)
• Informer et former les personnels
Rappel - Sécurité : synthèse
• Sécurité = compréhension du fonctionnement de l’entreprise + de la méthodologie + un peu de technique + du bon sens + de la sensibilisation
• Il existe des outils puissants mais aussi beaucoup de failles de sécurité
• Outils techniques : IP secure, VLAN, VPN, IDS, pare-feux, DLP, ERM…
• Outils méthodologiques : PSSI, SMSI, security patterns, survivabilité, confiance, réputation…
• Passage d’une logique de « piratage » par un individu à un spectre composite de
menaces : espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques à grande échelle, cyberguerre
• Le facteur humain est central
• Complexification : « entreprise ouverte », externalisation, « cloudification », BYOD,
botnets, « advanced persistent threats (APT) », « advanced evasion techniques (AET) »…
• Nécessité d’une prise en compte globale au niveau de l’entreprise
Rappel – Sécurité : retour à l’introduction (Le Monde, 3/2/2015)
• 6 questions fondamentales selon J. Evans (HSBC)
– Quels sont les données et les process critiques pour l’entreprise ? – Qui peut menacer ces actifs (concurrent, Etat, consommateur…) ? – Quel degré de risque accepte-t-on ?
– Qui doit gérer ce[s] risque[s] ?
– [Ces risques sont-ils] pris en compte dans les projets de développement ? – Les fournisseurs ont-ils la même démarche
• 0,01% à 2% des données des entreprises seraient réellement critiques (Commission sur le vol de PI, Etats-Unis)
• « La cybersécurité est une question humaine avant d’être technologique »
Nouvelles frontières
• Informatique multi-échelle : de l’objet (du composant d’objet) au cloud
• Informatique partout ― Informatique pervasive
• BYOD
• Internet des objets – Cloud-IoT – Edge computing – Fog compuritng
• Informatique « user-centric »
• Informatique « business-centric »
• Ecosystèmes numériques
• Blockchain
• => systèmes de plus en plus ouverts... mais collaboratifs
• => forte évolution des risques et menaces
• => vers une « sécurité collective » : notion de confiance et de réputation
• => concepts de (protection de la) vie privée/confidentialité interrogés
=> notion d’identité/de « moi » numérique
Conclusion
• Votre rôle : comprendre-assembler-organiser-intégrer des solutions
« vivantes »
• Numérisation de la société : un horizon créatif sans limite mais de nouveaux risques émergents
– intelligence économique
– dépendance au SI et risque systémique – cyber-attaques
– traçage des personnes, conditionnement/influence/contrôle/surveillance des personnes,
• « Primum non nocere » (D’abord, ne pas nuire) ! Interrogez-vous sur les conséquences et risques de vos solutions (sur les processus métier de l’entreprise, sur l’organisation de l’entreprise, sur les performances du système impacté, en terme de respect de la vie privée des personnes, en terme de résistance aux attaques et dysfonctionnements… )
• Derrière les réseaux, vivent des personnes : soyez des ingénieurs humanistes :-) !
