Sécurité informatique ( R isques, Approches et Bonnes pratiques)

1. Sécurité informatique (Risques, Approches et Bonnes pratiques) 1

2. Intervenant : Mr Xavier MOLTENI « Président de BASOM Consulting »1. Le Système d’Information dans l’entreprise 2. Les objectifs de sécurité3. Les impacts sur le business liés aux risques d’attaques4. Prise de conscience des enjeux, une approche « Top-Down » 5. L’analyse d’impacts « Business Impact Analysis (BIA)6. Quelques exemples de menaces informatiques pour l’entreprise7. Une approche structurée et adaptée de la sécurité informatique Sommaire 2

3. 8. L’information et la formation des collaborateurs9. L’évolution des usages informatiques / Risques et enjeux10. Questions - Réponses Sommaire 3

4. Dans un système économique en permanente évolution, le Système d’Information (SI) est aujourd’hui un élément clef de l'entreprise moderne lui permettant d’assurer une gestion efficace et de rester compétitive dans ses activités. Ces dernières années, la place prépondérante prise par l’informatique, que ce soit dans un contexte économique national ou international, est par conséquent à considérer au premier plan. Dans ce contexte, il est fondamental pour une entreprise de s’assurer que son environnement SI répond aux critères de ;Confidentialité d’Intégrité et de Disponibilité. 1. Le Système d’Information dans l’entreprise 4

5. Le concept de gestion des risques a fait son apparition il y a environ 50 ans aux États-Unis dans le domaine financier. Par la suite, la notion de gestion des risques a été étendue à d’autres domaines comme par exemple ; - l’environnement, - la gestion de projet, - le marketing… Puis, quelques années plus tard à la sécurité informatique (qui constitue uniquement une partie des risques généralement associés aux activités nécessitant un SI). 2. Les impacts sur le business liés aux risques d’attaques 2.1 La gestion des risques (Rappel) 5

6. Dans son expression la plus simple, la sécurité se compose de quatre blocs interdépendants. 1. « L’organisation / entreprise» définie par ses actifs ou ses biens (dont la définition est plus communément utilisée en Anglais « assets » dans le monde de la sécurité)2. « Les objectifs de sécurité » définis par le « Top Management » de l’entreprise 3. « Les risques » pouvant potentiellement impacter les assets4. « Les contre-mesures » permettant de limiter les risques en rapport avec l’activité. 2. Les impacts sur le business liés aux risques d’attaques (suite) 2.2 Concept de la gestion de risques informatiques 6

7. 2. Les objectifs de sécurité * Source Nicolas Mayer université de Namur Luxembourg 7

8. 3. Les impacts sur le business liés aux risques d’attaques 8

9. 4. Prise de conscience des enjeux, une approche « Top-Down » Une prise de conscience est donc essentielle afin d’assurer la sécurisation de son Système d’Information. Cette sécurisation est, par effet rebond, une « assurance » de la bonne prise en compte de la nécessité de protéger les biens de l’entreprise. Celle-ci doit s’opérer au plus haut niveau de l’entreprise « Top Management » afin de décider de la mise en place des politiques de sécurité adaptées au business (contexte, règlementation…) pour redescendre jusqu’aux services opérationnels (l’approche « Top-Down »).Toute politique de sécurité qui ne prend pas en compte ce point restera inefficace. 9

10. 5. L’analyse d’impacts « Business Impact Analysis (BIA) • Les objectifs d’une étude du BIA sont multiples : • Identifier toutes les fonctions critiques • Identifier toutes les ressources critiques • Calculer le MTD « Maximum TolerableDowntime » • Identifier les menaces • Calculer les risques • Identifier les solutions permettant de sécuriser et de secourir ces fonctions critiques. • A l’issue de cette étude de BIA initiale, la stratégie permettant de de répondre au exigences de sécurité du Système d’Information sera mise en œuvre. 10

11. 6. Quelques exemples de menaces informatiques pour l’entreprise • Usurpation d’identité (Obtention ou utilisation illicite de données d’authentification d’un utilisateur) • L’objectif est de trouver un mot de passe ou une clef. L’outil utilisé testera toutes les combinaisons possibles. • Exemple de méthode : « Brute force attack / DictionaryAttack » • Outils utilisés : Brutus, Cain& Abel, …. • Le tableau ci-dessous indique le nombre de combinaisons nécessaires pour trouver un mot de passe Source wikipedia 11

12. 6. Quelques exemples de menaces informatiques pour l’entreprise (suite) • Les menaces informatiques sont multiples. Nous ne citerons ici que quelques-unes d’entres elles : • Usurpation d’identité (Obtention ou utilisation illicite de données d’authentification d’un utilisateur) • Exemple de méthode : « Man in the middle » (l’attaquant agit en tant que Proxy) • Exemple de mécanismes utilisés : ARP Spoofing, DNS poisoning… Source owasp.org 12

13. 6. Quelques exemples de menaces informatiques pour l’entreprise (suite) • 2. L’usurpation d’un site Internet (bancaire par exemple) • L’objectif est d’attirer des utilisateurs vers un faux site Web dans le but de récupérer des informations sensibles. • Exemple de méthode L’hameçonnage « Phishing » • Exemple d’outil utilisé : le Mail Malveillant, le faux site. Source tomstone.fr 13

14. 6. Quelques exemples de menaces informatiques pour l’entreprise (suite) • 3. Les virus et logiciels espions • Les virus : • Programme malveillant caché dans un fichier et permet de générer des attaques pour infecter le système, détruire les données et potentiellement se propager. • Les vers : • Programme autonome permettant la destruction de données ou le détournement d’informations sensibles ou confidentielles. • Les chevaux de Troie : • Programme prenant l’apparence d’un processus normal, trompant ainsi les systèmes de sécurité pour pénétrer sur les systèmes. • Logiciels espions : • Programmes permettant la récupération de données ou d’exécution de commandes sur un système (mots de passes, numéros de cartes bancaires, etc…) 14

15. 6. Quelques exemples de menaces informatiques pour l’entreprise (suite) • 3. Autres types de menaces « APT et autres… » : • SQL injections : (attaques de bases de données) • « Tempest » : (L’étude des signaux électriques ou électromagnétiques) sur un système • « Rootkit » : (Mise en œuvre d’un accès dissimulé sur un ordinateur dans l’objectif d’espionner ou d’accéder aux données stockées sur un ordinateur) • Directory TraversalAttack : (technique de navigation http qui peut être exploitée pour accéder à des dossiers non autorisés par l’utilisation des liens symboliques) • Passive Attack : (Obtention d’informations par l’écoute passive sur le réseau « sniffer ») • Cross Site Scripting : (Exploitation des failles de sécurité d’un site Web permettant d’injecter du contenu dans une page. Les possibilités d’attaques sont multiples puisque liées au langage du navigateur). • DoSAttack : (Attaques de déni de service, dans le but d’écrouler un système) • Etc……… 15

16. 7. Une approche structurée et adaptée de la sécurité informatique • La multitude d’attaques informatiques oblige les entreprises à structurer leur défense. Quelques exemples ci-dessous: • Mettre en place les politiques de sécurité • Développer des Standards, Guidelines et Procédures • Mettre en place des solutions de reprise, de secours et de continuité du business • Maintenir à jour les systèmes informatiques • Sensibiliser et former les utilisateurs de l’entreprise • Réaliser des audits et contrôles réguliers des processus • Mettre en place des architectures simples et homogènes « bundle » afin de rendre plus simple l’exploitation du SI • Mettre en œuvre des outils permettant le contrôle, la supervision du SI afin d’être proactif sur les événements • Documenter tous les environnements techniques et fonctionnels • Assurer une bonne communication entre les différents services concernés par la sécurité des environnements SI. • Etc…. 16

17. 8. L’information et la formation des collaborateurs • En matière de sécurité informatique, il est essentiel que les collaborateurs de l’entreprise soient sensibilisés et formés. En effet, dans de nombreux cas, la méconnaissance des collaborateurs sur ces sujets est fréquemment utilisée par les personnes malveillantes pour contourner les mécanismes de sécurité mis en œuvre. • Les sujets à évoquer régulièrement avec les collaborateurs sont par exemple : • La sécurité dans l’entreprise (règles et standards) • Gestion des mots de passe • Périphériques et risques (clefs USB, CD, DVD, autres…) • Informations à ne pas communiquer à un inconnu • Comportement à avoir avec la messagerie • Risques et comportement à adopter avec Internet • Les différents types d’attaques • La loi et la sécurité informatique • Les bases du réseau, etc… 17

18. 9. L’évolution des usages informatiques / Risques et enjeux • Depuis quelques mois, nous rencontrons une évolution dans l’utilisation des outils informatiques en entreprise. Par exemple, de nombreux utilisateurs souhaitent utiliser leurs outils personnels pour se connecter aux ressources de l’entreprise (BYOD) : • IPhone, • IPad, • BlackBerry, • Androïde, etc… » • Cette solution représente un réel intérêt économique pour l’entreprise (sur les achats, les ressources et autres..). Cependant, sur le plan de l’organisation ou de la sécurité informatique, les environnements deviennent de plus en plus complexes à gérer pour assurer une bonne sécurité. • D’autres technologies ou solutions comme le « Cloud » ou les environnements virtualisés apportent également du fil à retordre aux spécialistes de la sécurité aujourd’hui et pour les années à venir. 18

19. 10. Questions - Réponses QUESTIONS / REPONSES 19

20. 10. Questions - Réponses MERCI ! Xavier MOLTENI BASOM Consulting E-mail: xmolteni@basom-consulting.com 20