C'est quoi la sécurité informatique ?
La sécurité IT (ou sécurité informatique) est un dispositif vaste et multiforme visant à protéger un réseau informatique et ses données contre toute violation, fuite, publication d'informations privées ou attaque.
Quels sont les trois principes clé de la sécurité informatique ?
L'intégrité : garantir que les données sont bien celles que l'on croit être.
La disponibilité : maintenir le bon fonctionnement du système d'information.
La confidentialité : rendre l'information inintelligible à d'autres personnes que les seuls acteurs d'une transaction.Quels sont les 4 critères de sécurité de l'information ?
Les 4 critères de sécurité de l'analyse de risque DICP
Ce référentiel regroupe 4 facteurs fondamentaux : la disponibilité (D), l'intégrité (I), la confidentialité (C) et la preuve (P).- Qu'est-ce que la sécurité numérique ? L'expression « sécurité numérique » désigne l'ensemble des pratiques visant à protéger votre identité numérique, composée par vos données personnelles présentes sur le web.
Celles-ci peuvent vite se propager, sans forcément que leur propriétaire s'en rende compte.
Référentiel de Sécurité Informatique
SÉCURITÉ INFORMATIQUE
CHAPITRE 08 : Calcul vectoriel et géométrie analytique
Chapitre 4: Géométrie analytique dans l'espace
Geophysique Cours et exercices corriges
Cours de Géophysique Appliquée
COURS DE GEOPHYSIQUE APPLIQUEE
Mesures géophysiques
Géophysique
Protection contre les menaces PréventionJean-Marc RobertGénie logiciel et des TIJean-Marc Robert, ETSProtection contre les menaces -Prévention -A102Plan de la présentation"Introduction"PréventionRouteursPare-feu"ConclusionsJean-Marc Robert, ETSProtection contre les menaces -Prévention -A103Introduction"La sécurité informatique repose sur deux grands principes:Veille technologiqueAEConnaissez bien vos ennemis.Analyse des besoins AEConnaissez-vous vous-même.Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux.Sun Tzu, 4ièmesiècle av.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A104Analyse des besoins"système informatique.Détermine les actifs à protéger et les objectifs à atteindre."sécurité informatique:PréventionDétectionRéactionAEDefence-in-depth: Utilisation de plusieurs moyens (parfois redondants) afin de protéger les actifs et de réduire les risques auxquels ils sont exposés.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A105Prévention"Effectuer une veille technologique afin de découvrir les menaces découlant des nouvelles vulnérabilités.Déployer les correctifsremédiant aux vulnérabilités des logiciels (patch).Déployer une architecturebasée la séparation des réseaux.configuration statique."Par défaut bloquer tout trafic."Allouer explicitement seulement le trafic désiré.Bloquertout trafic ayant été identifié comme malveillant.""Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A106Modèle OSIModèle TCP/IPCouche de réseauCouche de liaisonCouche de transportCouche de sessionCouche de présentationCouche applicationCouche physiqueIPCouche de liaisonTCPCouche applicationCouche physiqueJean-Marc Robert, ETSProtection contre les menaces -Prévention -A107Filtrer les paquets: Access Control List (ACL)"RouteurLes routeurs de périphérie peuvent être configurés afin de filtrer les paquets entrant ou sortant du réseau local."Pare-feudes politiques de sécurité différentes.InternetR&DRHFinanceJean-Marc Robert, ETSProtection contre les menaces -Prévention -A108Filtrer les paquets: Access Control List (ACL)"Trafic entrantPermet de prévenir le IP spoofing"Source IPSource PortDest.
IPDest. PortAction0.0.0.0) Any152.168.1.0/24AnyDeny10.0.0.0/8Any152.168.1.0/24AnyDeny127.0.0.0/8Any152.168.1.0/24AnyDeny192.168.0.0/16Any152.168.1.0/24AnyDeny152.168.1.0/24AnyAnyAnyDenyAnyAny152.168.1.325AllowAnyAny152.168.1.280AllowAnyAny152.168.1.0/24AnyDenyJean-Marc Robert, ETSProtection contre les menaces -Prévention -A109Filtrer les paquets: Access Control List (ACL)"Trafic entrantServeur SMTP et Serveur Web"Seules communications permisesSource IPSource PortDest.
IPDest. PortAction0.0.0.0) Any152.168.1.0/24AnyDeny10.0.0.0/8Any152.168.1.0/24AnyDeny127.0.0.0/8Any152.168.1.0/24AnyDeny192.168.0.0/16Any152.168.1.0/24AnyDeny152.168.1.0/24AnyAnyAnyDenyAnyAny152.168.1.325AllowAnyAny152.168.1.280AllowAnyAny152.168.1.0/24AnyDenyJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1010Filtrer les paquets: Access Control List (ACL)"Comment permettre à un site web distant de répondre à un usager du réseau 152.168.1.0/24 sans ouvrir tous les ports éphémères?Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1011Pare-feu à états"tel port pour un intervenant extérieur.Ainsi, la source locale (adresse IP et port UDP/TCP) ouvre la porte pour un destinataire extérieur (adresse IP et port UDP/TCP)."Les ports éphémères sont bloqués de façon générale.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1012Pare-feu à états "Dispositif permettant de filtrer les paquets selon les informations Le pare-feu doit maintenir une table de connexions permettant de "provenant du réseau local.Si aucune information se retrouve dans la table, les ACL sont utilisés.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1013Pare-feu à états "vérifiée.entrer» par ce port."Donc, il serait possible de bloquer les ports éphémères en entrée (tel que présenté précédemment).
Source IPSource PortDest. IPDest.PortÉtat152.168.1.12103080.210.1.380Établi152.168.1.131031173.22.1.180ÉtabliJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1014Filtrer les paquets Difficultés"Table 1.
Complexité de la configuration.Description Minimum Maximum AverageRègles5 2,671 144. 0) Objets24 5,847 968.0Postes, sous-réseaux, et groupesInterfaces2 13 4. 0) A. Wool. A Quantitative Study of Firewall Configuration Errors.IEEE Computer, 2004.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1015Filtrer les paquets DifficultésErreurs1No stealth ruleconnexions au pare-feu non filtrées2-4Check Point implicit rules Présence de règles par défaut5Insecure firewall management Connexion au Firewall via telnet6Too many management machines Gestion à partir de # postes7External management machines Gestion à partir depostes externes8NetBIOS serviceconnexions NetBIOS non filtrées! Souvent attaqués9Portmapper/Remote Procedure Call service -port 111 non bloqué10Zone-spanning objects@ ip11Voir 8 et 912 connexions sortantes non limitéesJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1016Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1017Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1018Modèle OSIModèle TCP/IPCouche de réseauCouche de liaisonCouche de transportCouche de sessionCouche de présentationCouche applicationCouche physiqueIPCouche de liaisonTCPCouche applicationCouche physiqueJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1019"contenu applicatif des paquets?"Comment bloquer les logiciels malveillants spécifiques à un protocole (p.e.
ActiveX ou JavaScript pour HTTP, virus pour SMTP)?"Solution:Utiliser un dispositif interceptantla communicationentre deux intervenants.Ce dispositif devrait pouvoir interpréterles informations applicativesafin de pouvoir prendre une décision le plus juste possible."Par exemple, la reconstruction des paquets IP fragmentés.Le man-in-the middleautorisé!Pare-feu proxyJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1020Pare-feu proxy schématiquementInternetR&D1.TCP/80 HTTP Get192.168.1.12 AE134.154.24.
4) Client192.168.1.12Proxy134.154.24.4seule adresse connueServeur23.14.3.412.TCP/80 HTTP Get134.154.24.
4) AE23.14.3.413.Response23.14.3.41 AE134.154.24.44.Response134.154.24.4) AE192.168.1.12Réseau local Environnement sécuriséInternet Environnement hostileJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1021Pare-feu proxytypes"Niveau applicatif (application-level proxy)Analyse le paquet au niveau applicatif."Beaucoup plus exigent au niveau des ressources."Niveau circuit (circuit-level proxy)"Niveau Session dans le modèle OSI.Aucune analyse au niveau applicatif."Peut supporter plusieurs protocoles.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1022Pare-feu application-level proxy"HTTP Bloque les ActiveX ou JavaScript.Bloque certaines commandes (p.e. http delete)"SMTPBloque les ActiveX ou JavaScript.Bloque les courriels avec pièces jointes.Bloque certaines extensions de MIME.Analyse les pièces jointes à la recherche de virus.AELa différence entre un SMTP proxy-server et le serveur SMTP SMTP serveur est déjà un intermédiaire.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1023Pare-feu proxy sommairePourDécisionprise selon les données applicatives."Validation du protocole.Authentificationdes usagers."À noter que cela aurait pu être mentionné aussi pour les autres types de pare-feu car Création de fichiers "Au niveau applicatif puisque le pare-ContreProblèmes de performance."Nombre limité de proxy applicatifs.Bris de la communication client/serveur AEBris du lien de confiance?attaque DoS.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1024Pare-feu architecture"Les pare-feu peuvent être installés à divers endroits dans "Rappel: Le pare-feu sert à séparer deux réseaux utilisant des politiques de sécurité différentes.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1025Pare-feu architecture de base (dual-home)"Le pare-feu repose sur un ordinateur sécurisé (bastion host) ayant deux cartes réseau.Nombre minimal de services avec les ports fermés.Services mis à jour régulièrement.Nombre limité de comptes usager avec des mots de passe robustes.InternetR&DJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1026Zone démilitariséeZone tampon d'un réseau d'entreprise, située entrele réseau local et Internet, derrière le coupe-feu, qui correspond à un réseau intermédiaire regroupant des serveurs publics (HTTP, SMTP, FTP, DSN, etc.), et dont le but est d'éviter toute connexion directe avec le réseau interne et de prévenircelui-ci de toute attaque extérieure depuis le Web.
Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1027Pare-feu DMZ"Restreindre les flotsInternet / DMZDMZ / LocalInternet / LocalInternetLocalSMTPDNSHTTPJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1028Pare-feu DMZ"Restreindre les flotsInternet / LocalInternet / DMZDMZ / Local"Le pare-feu a simplement trois cartes réseau.Toutefois, un seul ordinateur doit être compromis pour que .InternetLocalSMTPDNSHTTPJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1029Pare-feu DMZ politique de sécurité"et du DMZ vers le réseau local ne doivent intégritédes informations se retrouvant dans le DMZ ou le réseau local."local vers le DMZ et du ne doivent pas compromettre intégritéet la confidentialitédes informations se retrouvant dans le réseau local ou le DMZ.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1030Pare-feu DMZ politique de sécurité"Quatre grands principes:Moindre privilège"Un sujet ne doit avoir que les privilèges minimales afin de compléter ses tâches.Séparation des privilèges"Un sujet ne doit pas être autorisé seulement en se basant sur une condition unique.Protégé par défaut"explicitement autorisé, un sujet ne doit pas avoir accès à un objet.Économie de moyen"Les mécanismes de sécurité doivent être le plus simple possible failles (logicielles ou matérielles) pouvant être exploitées.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1031Pare-feu DMZ pare-feu externe"Cacherles adressesutilisées par les serveursdans le DMZ.Le pare-feu externe expose seulement son adresse IP."Bloquertout trafic illégitime.Provenantdirectement de pour accéder au réseau local.Provenantdu réseau localpour accéder directement à ."Offrir des proxyapplicatifs (p.e.
SMTP, DNS, HTTP, FTP)Filtres de premier niveau(vérification syntaxique)redondantes)AEÉconomie de moyen + Séparation des privilègesAEProtégé par défautJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1032Pare-feu DMZ pare-feu interne"Cacherles adressesutilisées par le réseau local.Network Address Translation (NAT)."Bloquertout trafic illégitime.Seulement le trafic X de ou vers un serveur du DMZ est permis.Exception: Trafic administratif"AEserveur DMZ (SSH)AEÉconomie de moyen + Séparation des privilègesAEProtégé par défautJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1033Pare-feu DMZ les serveursproxy"Analyserles trafic applicatifs."filtres complexes.Par exemple, décompresser un fichier joint à un courriel afin de rechercher des vers ou virus."Principaux dispositifs afin de de sécurité.Complémentent les proxy applicatifs du pare-feu.Dans certains cas, il peut y avoir redondance.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1034Pare-feu conclusions"Les pare-feu offrent maintenant beaucoup de fonctionnalités en plus de filtrer les paquets.Network Address Translation (NAT)"10.0.0.0/8172.16.0.0/16192.168.0.0/16"Ces adresses doivent correspondre à une adresse publique.Une adresse publique + ports ÅAENombreuses adresses privées + ports (limités)Dynamic Host Configuration Protocol (DHCP)"Serveur allouant les adresses IP dans le réseau localVirtual Private Networks(VPN)"local.Jean-Marc Robert, ETSProtection contre les menaces -Prévention -A1035Conclusions"technologique sécurisée."Afin de déterminer la solution la plus adéquate, il faut absolument Connaître ses besoins."Politique de sécurité détaillant les objectifs pour les divers actifs. Connaître ses ennemis"Veille technologique AEJean-Marc Robert, ETSProtection contre les menaces -Prévention -A1036Terminologie et définitionsLes définitions en italique ainsi que les termes français proviennent de grand dictionnaire terminologique de (http://www.oqlf.gouv.qc.ca/ressources/gdt.html)