Sécurité informatique: enjeux techniques et stratégiques

1. Sécurité informatique: enjeux techniques et stratégiques Université Paris XI - IFIPS Protego Informatique Nicolas Monier

2. Plan • Qu’est-ce que la sécurité informatique? • Définition formelle • Sécurité et cycle de vie d’un système informatique • Quelques exemples concrets • La sécurité informatique d’un point de vue technique • Quelques chiffres • Profil type des agresseurs • Techniques d’attaques • Contre-mesures • La sécurité informatique d’un point de vue management • Unité de mesure pour le manager: le risque • Outils d’analyse: méthodologies et normes

3. Qu’est ce que la sécurité informatique

4. Définition formelle • La sécurité informatique s’intéresse à deux composants: • Les données électroniques. • Les systèmes de traitement automatisés. • La sécurité informatique vise à préserver pour les composants précédents les propriétés suivantes: • L’intégrité (Modification illicite ou accidentelle impossible). • La confidentialité (Accès illicite ou accidentel impossible). • La disponibilité (Accès licites garantis 100% du temps). • Ces propriétés doivent être préservées quelque soit le média utilisé par les données: • Liens réseau physiques ou radio • Disques ou bandes • Rayonnements parasites ATTENTION: ne pas confondre système informatique et système d’information.

5. Sécurité et cycle de vie d’un système de sécurité L’application La plate-forme Génie logiciel orienté sécurité Spécification de l’application Choix d’une plate-forme matérielle Audit de code Développement Choix d’un système d’exploitation Ingénierie système Analyse de la sécurité des BDD Interfaçage avec des composantes externes Installation et paramétrage du système d’exploitation Ingénierie système Tests d’intrusion Tests Positionnement physique et logique de la plate-forme Ingénierie réseau Installation et paramétrage de l’application Ingénierie système Ingénierie réseau Sécurité organisationnelle Maintenance et mise à jour

6. Quelques exemples concrets 2004: Laboratoire pharmaceutique infesté par un troyen 0-day. Disponibilité des systèmes de traitement et confidentialité des données compromises. 2003: Serveur mail d’un constructeur de véhicules de chantier piraté. Mails redirigés sur le serveur d’un concurrent américain. Confidentialité des données compromise. 2002: Système de changes d’une banque modifié par un employé malmené par sa direction. Intégrité des données compromise. Les impacts: Pertes sèches à court terme liées à une perturbation de la production. Pertes à moyen terme liées à une dégradation de l’image de marque.

7. La sécurité informatique d’un point de vue technique

8. Quelques chiffres Le CERT CC, organisme de recensement et de publication des problèmes de vulnérabilité fournit les chiffres suivants (vulnérabilités déclarées): 2000-2004 Les chiffres des incidents (liés à des piratages) déclarés sont: 2000-2003 Le chiffrement des pertes liées aux agressions informatiques est impossible à effectuer de manière fiable: incidents pas toujours déclarés, outils de calcul non disponibles, recensement international difficile.

9. Profil type des agresseurs • Les utilisateurs maladroits associés à des administrateurs incompétents. • Les employés malveillants. • « Scripts kidies » ou « lamers ». • « White hats », « black hats » et « grey hats ». • Professionnels de l’intelligence économique et stratégique. • (privés ou gouvernementaux). • Terroristes supposés. Aucun chiffre fiable disponible quant au nombre et à la proportion des différents agresseurs. Mais de toute évidence, les employés malveillants et les « scripts kidies » sont ceux qui provoquent le Plus de dégâts.

10. Techniques d’attaques Buts: compromettre la disponibilité, la confidentialité et l’intégrité des données ou des systèmes de traitement automatisés. • Usurpation d’identité (ex: IP, login/mot de passe). • Exploitation des défauts d’implantation ou de spécification des protocoles • réseau (ex: IP fragmentation, cassage de clefs WEP). • Exploitation de failles de codes. (ex: BoF). • Injection de données dans des entrées non validées (ex: SQL injection). • Déni de service par saturation des ressources (ex: syn flooding). • Ingénierie Sociale. • Exploitation de configurations erronées des OS et/ou des applications • (ex: exploitation du « ./ » dans le PATH root). Dit aussi « privilège escalation ».

11. Contre-mesures techniques • Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique), • blindage des OS et des applications. • Outils de sécurité d’accès: firewalls, tunnels chiffrés VPN ou SSL, • serveurs d’authentification, PKI. • Outils de détection d’intrusion: IDS réseau, IDS hôte, Scanners de • vulnérabilités. • Outils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAM • et filtres URL, proxies et reverse-proxies, analyse • peer-to-peer • Outils de mise ne haute disponibilité: gestionnaires de bande passante, • boîtiers d’équilibrage de charge, systèmes • de clustering logiciel, protocoles de routage • et de redondance. • Génie logiciel orienté sécurité: conception et écriture de code sûr.

12. La sécurité informatique d’un point de vue management

13. Unité de mesure pour le manager: le risque Deux informations intéressent le manager: L’ergonomie des outils Informatiques (impliquant un gain de productivité) et l’estimation d’une probabilité d’un perte financière liée à un incident informatique. Son but: maximiser le rapport productivité/coût. • Le consultant sécurité ne répond pas à un besoin énoncé par le DSI mais • À des contraintes financières spécifiées par le DAF. L’informaticien doit donc • élargir son champs d’analyse: • Minimiser l’impact de la sécurité sur l’ergonomie. • Prendre en compte la sécurité physique des systèmes (car le DAF considère tous les incidents et pas uniquement les malveillances). • Prendre en compte la sécurité organisationnelle. • Se doter d’outils d’analyse pour communiquer avec le DAF. Risque informatique: valeur synthétique mesurant la probabilité d’exécution d’une menace exploitant la vulnérabilité d’un système, ayant un impact négatif sur le niveau de production.

14. Outils d’analyse: méthodes et normes La mesure du risque nécessite un audit. Ce dernier nécessite la création d’un référentiel de valeurs. On doit donc se doter de méthodes pour: (1) appréhender La complexité du système d’information, (2) créer des échelles de valeur Propres à l’entreprise. • Méthodologies institutionnelles: ITSEC, NSA books. • Méthodologie non institutionnelle: OCTAVE. • Méthodologie non institutionnelle: MEHARI. • Norme internationale: IS0 17799. Les méthodes proposent toutes la création d’un cadre de référence, la définition d’un périmètre d’analyse et un système de calcul du risque. MAIS: elles ne proposent pas de technique de mise en œuvre, de contrôle De la durée, de répartition des tâches, d’intégration d’analyses de bas niveau.

15. Conclusion • Beaucoup de fausses idées reçues sur le monde de la sécurité • Informatique: • Techniquement, le métier de la sécurité ne se cantonne pas • au réseau. • Plus généralement le consultant sécurité ne peut se cantonner son • périmètre d’investigation à l’informatique. • La sécurité n’est pas une question technique. C’est une question • financière. • On ne sait pas réellement évaluer l’ampleur des incidents • informatiques. • On ne dispose pas de méthodologie de conception ou d’audit • mature.

16. Questions ?