• Aucun résultat trouvé

Sensibilisation à Sensibilisation à la sécurité la sécurité informatique informatique

N/A
N/A
Protected

Academic year: 2022

Partager "Sensibilisation à Sensibilisation à la sécurité la sécurité informatique informatique"

Copied!
29
0
0

Texte intégral

(1)

Copyright © CRI74 – GNU Free Documentation License 1

Sensibilisation à  Sensibilisation à  la sécurité 

la sécurité  informatique informatique

Sébastien Delcroix <seb@cri74.org>

(2)

Attentes de son système  Attentes de son système  d'information

d'information

Disponibilité

Intégrité de ses données Confidentialité

(3)

Copyright © CRI74 – GNU Free Documentation License 3

Qu'est­ce que la sécurité ? Qu'est­ce que la sécurité ?

Tous les éléments ou processus qui permettront à votre système d'information :

D'être disponible

D'avoir des données intègres

De garantir la confidentialité

(4)

Les causes des problèmes 1/2 Les causes des problèmes 1/2

Aléas

dysfonctionnement, erreurs

Attaques diverses

Crackers Les Malwares

Spyware, Virus, Worm, Trojan, rootkit, exploit

(5)

Copyright © CRI74 – GNU Free Documentation License 5

Les causes des problèmes 2/2 Les causes des problèmes 2/2

Détournement frauduleux

Phishing

Confidentialités

VPN, Chiffrement, signature Indésirables

Spams, hoax

(6)

Démarche pour anticiper et  Démarche pour anticiper et 

résoudre les problèmes?

résoudre les problèmes?

Information et formation Appareils de protection Logiciels de protection Services

(7)

Copyright © CRI74 – GNU Free Documentation License 7

Informations et Formations Informations et Formations

Connaissance des éléments de son SI

Logiciels

Matériels

Connaissance des éléments perturbateurs

Comment s'en protéger

Comment les éradiquer

(8)

Aléas de fonctionnement 1/3 Aléas de fonctionnement 1/3

Électrique

Micro-coupures

Coupures longues

Surtension

=> Solutions :

Onduleur

Groupe électrogène

(9)

Copyright © CRI74 – GNU Free Documentation License 9

Aléas de fonctionnement 2/3 Aléas de fonctionnement 2/3

Matériel

Panne disque (le plus fréquent)

=> Solution :

RAID

SAN/NAS

(10)

Aléas de fonctionnement 3/3 Aléas de fonctionnement 3/3

Humains

Effacement / écrasement de fichiers

Ancienne version Dégats

incendie, inondation

=> Solution :

Sauvegarde

Archivage

Doublement du stockage et des machines

(11)

Copyright © CRI74 – GNU Free Documentation License 11

Les attaques – pirates ­ leurs  Les attaques – pirates ­ leurs  motivations – les risques

motivations – les risques

Accès aux données

Pour vol ou destruction d'informations

Espionnage économique

Amusement

Revendications (politique ou non)

Vol de codes bancaires ou n° de cartes bancaires

Rebond

Pirater d'autres sites

=> Risque d'être inculpé à leur place

Planter un service

Deny Of Service

(12)

Les attaques – Pirates –  Les attaques – Pirates – 

Comment ? Comment ?

Connexion Internet quasi permanente

Scans réguliers

Malwares

Tentatives d'attaques sur des failles de sécurité connues

Système mal configuré pour résister à une grosse charge

Système mal ou non sécurisé par défaut

Mot de passe inexistant

Failles connues non corrigées

80% des attaques viennent de l'intérieur

(13)

Copyright © CRI74 – GNU Free Documentation License 13

Les attaques – Crackers –  Les attaques – Crackers – 

quelles solutions ? quelles solutions ?

Pare-feu (Firewall), Routeur (Filtrage,NAT) Veille sécurité (se tenir informé)

Système à jour

Utilisation de protocoles sécurisés (mot de passe non visible)

Système de détection d'intrusion (IDS)

Pas d'accès physique aux machines (local sécurisé)

(14)

Les Malwares Les Malwares

Logiciels Malveillants

(15)

Copyright © CRI74 – GNU Free Documentation License 15

Malware : virus Malware : virus

Programmes se propageant par de multiples supports Conséquences

Destruction complète ou partielle des documents

Propagation vers d'autres SI (clients) Solutions

Avant tout : formation et information

Prévention / éradication : anti-virus

(16)

La vérité sur les anti­virus La vérité sur les anti­virus

Le tenir à jour quotidiennement

Ne peut pas anticiper les nouveaux virus Ne filtrent pas tous les virus

Anciens virus non filtrés

Meilleur anti-virus : LA VIGILANCE

Formation et information

Filtrer les extensions suivantes :

bat, com, exe, pif, vb, lnk, scr, reg, chm, wsh, js, inf, shs, job, ini, shb, scp, scf, wsc, sct, dll

(17)

Copyright © CRI74 – GNU Free Documentation License 17

Malware : Worm & Trojan Malware : Worm & Trojan

Worm

programme malveillant qui se propage de machine en machine

Trojan

Programme malveillant permettant, entre autre, une intrusion à distance de votre machine

(18)

Malware : Spyware/Adware Malware : Spyware/Adware

Espionnage de votre machine Renvoie d'informations

utilisation des informations à des fins commerciales ou autres !

Quelques chiffres (Misc N°17, p38, étude NCSA)

80% avec au moins 1 Spyware

en moyenne un PC héberge 93 spywares

record à 1059 spywares sur une machine

90% des personnes interrogées ne savaient ce qu'était un spyware

exemple de logiciels installant des spywares

Kazaa, codec DivX

(19)

Copyright © CRI74 – GNU Free Documentation License 19

Exploit et Rootkit Exploit et Rootkit

Exploit

programme permettant d'exploiter une faille de sécurité

Rootkit

Programme permettant de maintenir un accès à une machine déjà piratée (par un « exploit » par exemple)

(20)

Phishing Phishing

Ingénierie sociale Mail indésirable Site web truqué

Récupération données bancaires Détournement d'argent

(21)

Copyright © CRI74 – GNU Free Documentation License 21

Confidentialité / Intégrité de  Confidentialité / Intégrité de 

ses données ses données

Problématique des informations de son SI et/ou circulant sur les réseaux

Risques :

Vol ou espionnage des données

Vol de code d'accès pour intrusion

Confidentialité de données sensibles en interne

Mobilité (données sensibles sur un PC portable)

Transport réseau facile d'accès (WiFi, Bluetooth)

Falsification d'information

(22)

Confidentialité / Intégrité –  Confidentialité / Intégrité – 

les solutions les solutions

Utilisation des protocoles sécurisés

https, pop3s, imaps, etc.

VPN (Réseau Privé Virtuel)

Relier deux réseaux de confiance via Internet et des protocoles chiffrés

Chiffrement des données

Système de fichier chiffré (attention à la swap)

Validité d'un document

garantir qu'un document n'a pas été falsifié pendant le transfert (signature électronique)

(23)

Copyright © CRI74 – GNU Free Documentation License 23

Les indésirables Les indésirables

Ces mails qui nous font perdre du temps

SPAM

Publicité non sollicitée

Message souvent en anglais

=> Solutions

Filtre anti-spam (n'est pas efficace à 100%)

HOAX

Rumeurs

Chaîne

=> Solution : ne jamais renvoyer un hoax

(24)

Logiciels libres et sécurité Logiciels libres et sécurité

pas de sécurité par l'obscurité Code ouvert

relecture et vérification du code par d'autres utilisation d'algorithmes éprouvés

Possibilité de faire éprouver ses programme par la communauté

Meilleure réactivité sur les failles Attention, il faut quand même :

mettre à jour son système

Être vigilant avec le téléchargement des packages (site de confiance, signature des packages)

(25)

Copyright © CRI74 – GNU Free Documentation License 25

100% Sécurisé : un mythe ?  100% Sécurisé : un mythe ? 

La sécurité parfaite n'existe pas Pas simple

Beaucoup d'acteurs et de facteurs Anticipation impossible

(26)

Ce qu'il faut faire au  Ce qu'il faut faire au  minimum

minimum

Se former Être vigilant

S'équiper des infrastructures, outils et logiciels essentiels (porte blindée, onduleur, sauvegarde, antivirus, firewall)

Utiliser des logiciels sécurisés Éviter ceux qui sont mal réputés

(27)

Copyright © CRI74 – GNU Free Documentation License 27

Les coûts Les coûts

Vont dépendre du niveau de sécurité Ce n'est pas gratuit

Il existe aussi des outils libres et peu chers Formation => investissement à long terme manque de souplesse dans l'utilisation

Services fournis par les FAI, spécialistes (SSII/SSLL)

(28)

Conclusions Conclusions

Ce n'est pas simple

Cela a un coût non négligeable Ce n'est jamais fiable à 100%

par contre :

C'est indispensable

(29)

Copyright © CRI74 – GNU Free Documentation License 29

Questions ?

Questions ?

Références

Documents relatifs

Dans une situation d’urgence, les réseaux d’eau courante, d’électricité, de téléphone peuvent

L’Université d’Ottawa compte six (6) comités de santé-sécurité au travail, soit le Comité mixte universitaire sur la santé et la sécurité au travail (appelé le

Nous y arrivons en organisant des journées de sensibilisation autochtone, une partie de lacrosse entre les élèves autochtones et les enseignants (à la demande des élèves

Les attaques par analyse de la consommation électrique et des émissions électromagnétiques sont abordées plus en détails.. Programme de la formation

a) Raconter aux élèves la légende How the birds got their colours (Comment les oiseaux ont reçu leurs couleurs) de Basil Johnston, dans laquelle les oiseaux occupent une

Concerne : déficience préception couleur, mobile, référencement, lecteur

Dès lors que vous êtes informés par votre terminal ou par le gestionnaire de votre flotte mobile qu’une mise à jour est disponible, veuillez l’installer le plus

Avec des indicateurs convaincants et un argumentaire efficace, vous pouvez atteindre deux objectifs clés : réduire les risques de manière tangible et montrer aux RSSI et aux