Sécurité informatique : synthèse

Au cours de ces derniers mois, nous avons essayé de vous présenter différents aspects de la sécurité informatique, et ceci en vue de vous informer des différentes menaces existantes, mais surtout pour vous montrer que diverses solutions sont possibles afin de protéger votre système d’information, votre site web ou votre base de données.

Nous vous avons donc présenté les différentes menaces existantes, comme les virus, les vers, les chevaux de Troie ou encore les rootkits. Pour en savoir plus sur ces menaces, c’est par ici.

Ensuite, après vous avoir montré que votre système d’information est plus vulnérable que ce que vous pouviez le penser, il nous a paru indispensable de vous informer sur les moyens de contrer ces menaces, grâce à des logiciels/applications spécialisés dont vous retrouverez la description et l’utilité ici.

De plus, en lien avec l’actualité, nous vous avons présenté les techniques utilisées par les hackers pour faire tomber un site web, ou le cybersquatter. Si vous êtes curieux de (re)découvrir ces méthodes, c’est par là.

Si toutefois, vous aviez des besoins plus importants en matière de sécurité informatique (pour une entreprise, par exemple, souhaitant protéger entièrement son système d’information), nous vous proposons d’aller plus loin, en appliquant des méthodes plus formelles, permettant d’avoir une vision globale de la sécurité au sein de votre entité.

La première chose à faire, est de connaitre votre système d’information. Pour cela une démarche de cartographie du SI est primordiale, couplée à un audit de sécurité du SI : ces deux process vont vous permettre de connaitre parfaitement votre système, et de pouvoir ensuite agir efficacement dessus. Pour savoir comment les mettre en œuvre, vous pouvez lire notre article sur le sujet.

Enfin, une fois votre système d’information bien déterminé, il faut agir. Il existe différentes normes en matière de sécurité informatique. En cliquant ici, vous trouverez l’article où nous vous présentons l’une d’entre elles : la norme MEHARI.

Elle définit un ordre logique de tâches à réaliser pour sécuriser votre SI (identification, estimation et gestion des risques).

Nous espérons que ces quelques rudiments de sécurité informatique vous seront utiles pour protéger vos données, votre site web, votre base de donnée et/ou votre système d’information, et attendons vos retours avec impatience.

Cependant, nous tenons à vous informer que quel que soit le niveau de sécurité mis en place, ceux qui voudront accéder à vos données seront toujours en avance sur vous, car les correctifs de sécurité sont mis en place une fois les failles découvertes (le plus souvent lors d’attaques par des personnes malveillantes). Il faut donc bien évaluer les risques de votre système d’information, et surtout évaluer les probabilités d’attaques ainsi que la sensibilité des différentes données, car il est très facile de dépenser inutilement des sommes astronomiques pour la sécurité informatique.

(Le plan du rapport final suivra celui de cet article)

Des méthodes de management de risque

Il existe divers types de normes de sécurité informatique qui spécifient les méthodes de management de risque ; Ces normes proviennent principalement d‘organismes de normalisation internationaux et gouvernementaux, d’universités ou de milieux associatifs ou privés.

Chaque norme donne lieu à des outils d’analyse, généralement des logiciels gratuits ou payants, assistant la vérification des normes. Nous allons voir Méhari, une des principales normes, et en donner une description.

Mehari (MEthode Harmonisée d’Analyse de RIsques) est développée depuis 1995 par le CLUSIF, elle dérive des méthodes Melisa et Marion. Elle est utilisée par de nombreuses entreprises publiques et privées dans sa version française et anglaise.
Mehari est basée sur des spécifications s’articulant sur trois grands axes complémentaires :
- L’identification des risques : Qui comprend l’identification des actifs, des menaces, des mesures existantes, des vulnérabilités et des conséquences. Cela se fait suivant un processus défini comme suit :

Le « besoin de l’activité », point de départ du processus repose sur l’identification des besoins de services, de données (nécessaires aux services) ainsi qu’au besoin de conformité des comportements au référentiel. Après l’identification des actifs dits « primaires », on identifie leurs différentes formes et contingence qui donnent les actifs « secondaires » pour lesquels s’applique le reste du processus jusqu’à préciser les risques à évaluer.
- L’estimation des risques : Elle tient compte des facteurs structurels (liés à l’activité de l’organisme), des mesures de sécurité mises en œuvre et de la qualité de ces mesures.
Elle combine l’analyse des causes et des conséquences possibles pour évaluer la gravité d’un scénario suivant sa potentialité et son impact.

- La gestion des risques : Elle s’appuie sur les différentes étapes précédentes et vise à répondre aux objectifs déterminés (Services de sécurité à améliorer, niveaux de qualité cibles, etc.…)

Mehari est basée sur trois types de livrables :
- Le Plan Stratégique de Sécurité (PSS) fixe les objectifs ainsi que les métriques qui permettent de les mesurer. Il définit la politique et les grands axes de sécurité du SI pour ses utilisateurs.
- Les Plans Opérationnels de Sécurité (POS) décrivent les mesures de sécurité spécifiques à mettre en œuvre, en élaborant des scénarios de compromission et via un audit des services du SI. Ceci permet d’évaluer chaque risque (probabilité – impact) et par la suite d’exprimer les besoins de sécurité et les mesures de protections.
- Le Plan Opérationnel d’Entreprise (POE) assure le management de risque par la conception d’indicateurs sur les risques identifiés et des scénarios contre lesquels il faut se protéger.

Mehari repose sur un modèle de risque donnant lieu à des métriques pour estimer les paramètres liés aux risques :

- Niveaux de qualité des services.
- Facteurs de réduction de risques.
- Effets de la combinaison des services.
- Estimation de la gravité du risque.
- …

Cependant, il est à souligner que le CLUSIF spécifie le concept de “confiance raisonnée” pour Méhari : Les mécanismes de calcul peuvent donner une fausse impression de précision, le modèle reposant sur un principe de prudence…

En plus de Mehari, il existe plusieurs normes utilisées dont Ebios (DCSSI – 1995), Octave (Carnegie Mellon University – 1999), Cramm (Siemens – 1986). Ces normes intègrent de plus en plus des normes externes dans leurs plus récentes versions. Ainsi Mehari a intégré la norme ISO 27005 dans sa version 2010.

Bibliographie:
- Projet de sécurité des réseaux, Marc Rozenberg, Université Val D’Essonne.
- http://cyberzoide.developpez.com/securite/methodes-analyse-risques
- Site CLUSIF : http://www.clusif.asso.fr , Mehari téléchargeable gratuitement.

La sécurité informatique dans l’actualité

Avant d’attaquer sérieusement la partie sur les logiciels permettant de détecter les trous de sécurité qu’il peut exister au sein de votre système d’information, nous vous proposons un petit intermède lié à l’actualité :


megaupload logoVous avez sûrement entendu parler de la chute de l’empire MegaUpload, provoquée par un groupe qui lutte tous les jours pour qu’Internet soit entièrement sous son contrôle. Cette faction, plus connue sous le nom de FBI, et largement poussée par les lobbys des médias et du divertissement américains, a fait fermer tous les sites liés à Mégaupload, arrêté les dirigeants, saisit tous les biens et les serveurs des sites, et le tout, situé hors sol américain et sans procès préalable.

sopa pipaUne action coup de poing qui souligne la mainmise américaine sur Internet, et le bafouage des libertés sur Internet, et qui est appuyée par les projets de loi visant à contrôler et censurer le web par les états (SOPA, PIPA).

Tout cela a entrainé de nombreuses contestations sur la toile, et certains ont décidé d’agir pour sauver l’Internet actuel et empêcher son filtrage massif. On peut citer par exemple Wikipédia, ou les forums Linux qui avaient décidé de ne plus afficher le contenu de leur pages en mettant des pages noires à la place. Même le géant Google avait protesté sur sa page d’accueil contre ces mesures.

Wikipedia black out

Un groupe d’anonymes, mais pas inconnus, les Anonymous, s’est érigé en Robin des Bois de l’ère moderne. Et a mis tout en œuvre pour faire pencher la balance et éviter/condamner ce genre d’actions.

anonymous

On peut recenser plusieurs types d’actions qu’ils ont effectué dans cette bataille contre les états.

  • Attaques par déni de service (DoS) :

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • L’inondation d’un réseau afin d’empêcher son fonctionnement ;
  • La perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
  • L’obstruction d’accès à un service à une personne en particulier.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet.

Pour réaliser ces attaques, les Anonymous utilisent un logiciel spécifique : LOIC, pour Low Orbit Ion Cannon. C’est une application de test de réseau, qui tente d’attaquer par déni de service le site ciblé en inondant le serveur avec des paquets TCP, des paquets UDP, dont des requêtes HTTP avec l’intention de perturber le service d’un hôte particulier.
Cependant, pour faire tomber un site web, et plus particulièrement des sites visités par de nombreux visiteurs (et donc calibrés pour résister à un certain nombre de requêtes/connexion simultanées), il faut effectuer énormément de requêtes, qu’un seul poste ne peut fournir. Bien que les Anonymous soient nombreux (plus de 4000 selon certaines sources) et présents dans le monde entier, il peut arriver qu’ils ne soient pas assez nombreux pour faire planter un site web.

  • Diffusion de liens vérolés :

Pour palier leur nombre de machines insuffisant en cas d’attaques DoS, ils diffusent des liens au travers de leurs canaux de communication (leur profil Twitter étant le plus visité de ceux-ci), mais ses liens sont souvent vérolés, et permettent de prendre à votre insu le contrôle de votre ordinateur (comme on l’a vu dans les précédents articles), et surtout d’y installer, je vous le donne dans le mille,… LOIC ! Ainsi, lorsqu’ils prévoient leur attaques, ils ne font pas “seuls”, mais avec une armée de PC-zombies à leurs ordres, via des salons IRC.

  • Protection de l’adresse IP attaquante :

Au vu du nombre importants de PC infectés, il est quasi-impossible de trouver d’où sont lancées les attaques. Cependant un travail minutieux des autorités pourrait permettre de remonter à certains des attaquants, via les adresses IP des machines qui sont parfaitement connues lors des attaques. Pour parer cela, les Anonymous se cachent derrière des réseaux ou Proxy anonymiseurs. Mais Nul doute que ce cher FBI va essayer de faire tomber ce genre de site, afin d’attraper les Anonymous qui causent tant de dégats sur la toile.

La combinaison de ces trois techniques a entrainé, après le 19 janvier 2012, la chute plus ou moins momentannée des sites gouvernementaux américains (le FBI, la justice américaine, l’U.S. Copyright Office, l’Utah Chiefs Of Police Association, la Broadcast Music Incorporated, de la Warner Music Group et de Sony), des lobbys du divertissement (Universal Music, la Recording Industry Association of America, la Motion Picture Association of America) ou du gouvernement français suite aux propos de soutien de Nicolas Sarkozy aux actions du FBI (Hadopi).

Ce type d’attaque est très difficile à parer, car on ne peut contrôler les flux de requêtes envoyé sur un serveur, et à moins d’avoir une très bonne bande passante, et d’une capacité énorme de traitement des requêtes, les sites attaqués ont peu de chance de résister…

  • Piratage et cybersquattage de sites web :

En plus des attaques par déni de service, les Anonymous ont attaqué des sites web, en vue d’en prendre le contrôle, et d’en modifier/diffuser le contenu au plus grand nombre.

Ainsi on a pu voir le contenu payant de Sony relâché sur les réseaux P2P, ou même l’url du site de l’Élysée modifiée, avec des extraits du slogan des Anonymous (“We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.“).

elysee.fr URL piratéeCes attaques utilisent des faille de sécurités sur les sites web et serveurs. Parfois même, les attaques DoS permettent de prendre le contrôle des serveurs lors de leur redémarrage. On peut aussi citer les vols/décryptage des logins et mots de passe administrateurs (et ainsi accéder directement à l’administration des sites web en question).


Cet article n’a pas pour but de faire l’apologie des Anonymous, qui utilisent, des méthodes illégales comme le contrôle des ordinateurs à distance en les infectant au préalable, et les attaques par déni de service. On peut d’ailleurs se demander si leurs intentions sont parfaitement louables et dénuées d’intérêts… Ce billet a pour pour simple but celui d’informer sur les méthodes utilisées sur internet pour cracker/faire tomber un site ou un système d’information. Afin de soulever des interrogations sur les moyens de contrer ces attaques.

Les logiciels de sécurité informatique

Dans le précédent article, nous avons exposé les différentes menaces que rencontre un système d’information. Ainsi, n’importe quel ordinateur peut être infecté par des logiciels malveillants. Une fois l’ordinateur infecté, des personnes malveillantes peuvent capturer toutes les frappes au clavier, voler des documents, ou encore utiliser l’ordinateur pour attaquer d’autres ordinateurs. Il existe suivant les types de menace une panoplie d’outils de lutte et de neutralisation. Nous allons développer dans cet article les moyens existants.

En effet, il existe plusieurs types de logiciels qu’on peut répertorier comme suit:

Les logiciels antivirus

Un logiciel anti-virus est conçu pour protéger l’ordinateur contre les malwares. Il est disponible comme produit autonome et est inclus dans la plupart des logiciels de sécurité.

L’Anti-virus détecte et bloque les tentatives visant à infecter l’ordinateur.
Nous allons regarder comment marchent la plupart des anti-virus.

  • Détection de signature :

La plupart des programmes anti-virus fonctionne comme le système immunitaire humain en scannant l’ordinateur pour détecter les signatures (modèles) de pathogènes numériques et d’infections. Ils se réfèrent à un catalogue de codes malveillants connus, et si le contenu d’un fichier correspond à un modèle dans le catalogue, le logiciel anti-virus tente de le neutraliser.

Comme le système immunitaire humain, l’approche nécessite un catalogue mis à jour, comme le vaccin contre la grippe, pour fournir une protection contre de nouvelles souches de malwares.
Les anti-virus ne peuvent se protéger que contre ce qu’ils reconnaissent comme nuisibles. L’ordinateur est donc nécessairement vulnérable durant le délai entre le moment de l’identification des logiciels malveillants et le moment où une mise à jour du catalogue est publiée par les éditeurs d’antivirus. C’est pourquoi il est important de garder le logiciel sous la dernière mise à jour.

  • Détection des comportements

Dans cette approche, au lieu de tenter d’identifier les logiciels malveillants connus, l’anti-virus surveille le comportement des logiciels installés l’ordinateur. Il essaie de détecter et de prévenir dans le cas où un programme agit étrangement, comme pour essayer d’accéder à un fichier protégé, pour modifier un autre programme anti-virus, ou a des activités suspectes. Cette approche fournit une protection contre les nouveaux types de logiciels malveillants qui n’existent pas encore dans le catalogue. Le problème avec cette approche est qu’elle peut générer un grand nombre de fausses alertes.
L’utilisateur d’un ordinateur, peut être incertain sur ce qu’il faut autoriser ou non jusqu’à devenir insensible à ces avertissements en cliquant “accepter” systématiquement.

Lutte anti-spam

La détection de spam basée sur le contenu de l’email, soit par la détection de mots clés comme “viagra” ou par des moyens statistiques, est très populaire. Ces méthodes peuvent être très précis lorsqu’il est correctement réglé sur le type de courrier légitime qu’une personne reçoit. Le contenu détermine également si le spam était destiné à une adresse donnée ou la distribution de masse.
Mais il peut aussi faire des erreurs : si un ami envoie une blague qui mentionne «viagra», les filtres de contenu peuvent le marquer comme spam.

Les pratiques relevant pour la plupart de bon sens, sont d’excellents outils pour l’utilisateur pour lutter contre les spams : “discrétion”, éviter de répondre aux spams, désactiver le HTML dans l’e-mail, reporter les spams…

Pour les serveurs et les gestionnaires d’adresses, il existe des méthodes automatisées :
filtrage selon le pays, liste noires basées sur le DNS, Spamtrapping, trapits,  filtrage sur statistiques du contenu,  respect des normes RFC…

Pare-feu

Un pare-feu personnel est une application qui contrôle le trafic réseau vers et à partir d’un ordinateur, autorisant ou refusant la communication en se basant sur une politique de sécurité.

Un pare-feu est généralement destiné à protéger uniquement l’ordinateur sur lequel il est installé. Beaucoup de pare-feu sont capables de contrôler le trafic réseau en invitant l’utilisateur à chaque fois qu’une connexion est tentée et en adaptant la politique de sécurité en conséquence. Les pare-feu peuvent également fournir un certain niveau de détection d’intrusion ou des logiciels tentant de bloquer la connectivité. Leurs rôles sont en général de:

  • Permettre à l’utilisateur de contrôler les programmes qui peuvent et ne peuvent pas accéder au réseau local et / ou Internet
  • Protéger l’utilisateur des tentatives indésirables et surveiller les applications qui sont en attente de connexions entrantes et sortantes
  • Cacher l’ordinateur à partir du scan des ports et en ne répondant pas aux trafic réseau non sollicité
  • Fournir des informations sur le serveur de destination avec laquelle une application tente de communiquer

Anti – sniff

Packet sniffing est une technique de surveillance de tous les paquets qui traversent le réseau. Un sniffer de paquets est un logiciel ou un matériel qui surveille tout le trafic réseau.

Il existe une sérieuse menace de sécurité présentée par les sniffers, car ils peuvent capturer tout le trafic entrant et sortant, y compris les mots de passe en texte clair et de noms d’utilisateurs ou d’autres matériaux sensibles. En plus, il est difficile de les détecter parce qu’ils sont de nature passive, ce qui signifie qu’ils ne  font que recueillir des données.

Le logiciel anti – sniff effectue différents types de tests pour déterminer si un hôte est en mode “promiscuous”. Les tests sont répartis en trois catégories: les DNS tests, les tests de système d’exploitation spécifique, et des tests de latence du réseau et de la machine.

  • DNS Test

De nombreux sniffers effectuent des recherches de DNS au lieu des adresses IP. Pour ce teste, l’anti-sniff place la carte de réseau en mode “promiscuous” et envoie des paquets sur le réseau visant les hôtes malveillants. Si une recherche malveillante est détectée, le sniffer en action est dévoilé.

  • Tests sur système d’exploitation spécifique

Cette classe de tests vise certains systèmes d’exploitation. Il y a le test ARP qui est conçu pour Microsoft Windows.Un second test existe et est parfois connu comme test de “ether ping” conçu pour les noyaux Linux et NetBSD.

  • Réseau et des tests de latence machines

Les hôtes en mode “promiscuous”  voient  le trafic réseau menant au noyau augmenter considérablement (pour effectuer le filtrage). Le filtrage accru fait par le noyau engendre davantage de latence. Il existe plusieurs types de tests, par exemple : ICMP Time Delta, l’écho, et le ping drop.

Bibliographie :

Les logiciels de sécurité informatique

Il existe différents types de logiciels de sécurité informatique, ceux qui agissent régulièrement/au quotidien pour protéger votre système d’information, ceux qui vérifient l’intégrité et l’état de sécurisation du SI, et bien sûr ceux qui tentent de percer les défenses pour nuire ou obtenir des données sensibles.Aujourd’hui, nous allons nous attarder sur l’utilité des logiciels de protection pour une organisation.

Logiciels de protection informatique

En matière de systèmes d’information, il existe beaucoup de menaces existantes (et à venir). Les plus connues sont :

  • Les virus :

Un virus informatique est un logiciel malveillant conçu pour se propager à d’autres ordinateurs en s’insérant dans des programmes légitimes appelés « hôtes ». Il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre à travers tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, etc.

Pour s’en protéger, il existe les antivirus. Certains sont gratuits (Avast, AVG,…) d’autres sont payants à l’achat et/ou en abonnement (McAfee, Kapersky, Norton). Régulièrement sont publiés des comparatifs pour savoir lequel protège le mieux les ordinateurs. Toutefois ces comparatifs sont à prendre avec des pincettes : outre le fait que certaines compagnies payent pour être mieux classé/évalué, il est impossible de dire exactement quel antivirus est le meilleur du marché. En effet, ces logiciels sont de fait toujours à la traine en matière de protection, car les protections sont mise en place une fois que le virus a été relâché, détecté et analysé. Tout système bien protégé, pourra être affecté par un nouveau virus, jusqu’au moment ou une mise à jour de l’antivirus sera faite sur ce problème.

 


 

  • Les vers :

Un ver, contrairement à un virus informatique, n’a pas besoin d’un programme hôte pour se reproduire. Il exploite les différentes ressources de l’ordinateur qui l’héberge pour assurer sa reproduction.

L’objectif d’un ver n’est pas seulement de se reproduire. Le ver a aussi habituellement un objectif malfaisant, par exemple :

  • espionner l’ordinateur où il se trouve
  • offrir une porte dérobée à des pirates informatiques
  • détruire des données sur l’ordinateur où il se trouve ou y faire d’autres dégâts
  • envoyer de multiples requêtes vers un serveur Internet dans le but de le saturer (déni de service).

Pour s’en protéger, il faut, en plus d’un antivirus et d’un pare feu, un logiciel anti spyware. Comme précédemment, il existe des versions gratuites (AdAware, Spybot Search and destroy,…) et des versions payantes (SpySweeper, PestPatrol, etc.).

 


 

  • Les chevaux de Troie :

Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l’utilisateur. En général, il utilise les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée qui permet à un pirate informatique de prendre, à distance, le contrôle de l’ordinateur. Les trojans sont programmés pour être installés de manière invisible, notamment pour corrompre l’ordinateur hôte. La principale différence entre les virus, les vers et les chevaux de Troie est que ces derniers ne se répliquent pas.

Pour se protéger de ces logiciels qui agissent à notre insu, il est recommandé d’utiliser un logiciel pare feu, afin de contrôler les entrées et sorties de l’ordinateur sur le réseau.

 


 

  • Les rootkits :

Un rootkit est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d’obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur de la manière la plus furtive possible, à la différence d’autres logiciels malveillants.

Leur furtivité est assurée par plusieurs mécanismes de dissimulation : effacement de traces, masquage de l’activité et des communications, etc.

Un rootkit peut s’installer dans un autre logiciel, une bibliothèque ou dans le noyau d’un système d’exploitation. Certains peuvent modifier l’hyperviseur fonctionnant au-dessus des systèmes ou le micrologiciel intégré dans un matériel. La plupart des rootkits servent à installer des logiciels malveillants sur les machines où l’accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les utilisent pour s’assurer du respect des conditions d’utilisation de leurs produits par leurs clients.

À part quelques cas particuliers, l’industrie de la sécurité informatique a tardé à prendre en compte les rootkits, les virus puis les chevaux de Troie accaparant l’attention des éditeurs. Il existe cependant quelques logiciels de détection et de prévention spécifiques à Windows, tels que Sophos Anti-Rootkit ou AVG Anti-Rootkit. Sous Linux, on peut citer rkhunter et chkrootkit.

Aujourd’hui, il reste difficile de trouver des outils spécifiques de lutte contre les rootkits, mais leur détection et leur prévention sont de plus en plus intégrées dans les systèmes de prévention d’intrusion et même dans les antivirus classiques, lesquels sont de plus en plus obligés de se transformer en suites de sécurité pour faire face à la diversité des menaces ; ils proposent en effet de plus en plus souvent des protections contre les rootkits.

 


 

Ainsi contre toutes ces menaces, il faut se prémunir en installant des logiciels adaptés.Mais il faut se rappeller que tout système est vulnérable à ce genre d’attaques, car par définition, pour corriger ces problèmes, il faut qu’ils soient apparus et relachés sur la toile, qu’ils soient détectés, puis analysés et qu’un correctif soit proposé. Or entre le temps d’apparition et de correction, il y a un délai qui dépend de chaque éditeur de solutions de protection, et il y a un risque d’être infecté durant ce laps de temps. Donc n’oubliez jamais que quelque soit le niveau de sécurité de votre système d’information, les personnes malveillantes seront toujours en avance sur vous.

 

La prochaine fois nous vous montrerons des logiciels permettant de tester la sécurité de son système d’information, afin de trouver quelles sont les failles dans celui-ci, et essayer de les boucher pour éviter toute intrusion.

Un Plan de sécurité informatique… On commence par un Audit !

Dans ce deuxième post, nous traiterons de la notion du plan de sécurité informatique et en particulier l’étape d’évaluation des risques. Comme annoncé dans le premier post , nous commencerons par développer la notion d’Audit informatique, base de tout plan de sécurité et objet  de toute évaluation ou analyse de risques.

En effet, pour élaborer un plan de sécurité informatique, la première étape consiste naturellement en l’évaluation de la sensibilité des informations que possède l’entreprise ou l’entité en question. Il faudrait ainsi déterminer les différentes sensibilités des données et plus généralement des « actifs » à protéger. Ceci donnera une « cartographie » précise des menaces et des fragilités liées au système d’information.

Pour se donner une idée concrète du plan de sécurité et de l’audit informatique, il convient de présenter avant tout les principales origines de menaces contre lesquelles doit agir ce plan de sécurité. Il s’agit en effet de deux types de menaces :

Des menaces « passives », dans le sens où ils ne sont pas “volontaires” :

  • Les utilisateurs (utilisation non adéquate, insouciance…)
  • Des Incidents (pertes, vols, inondations…)

Des menaces « actives », dans le sens où il s’agit d’attaque planifiée:

  • Des personnes malveillantes (concurrents, …)
  • Des programmes malveillants (virus, …)

La sensibilité des données doit donc être pensée suivant ces deux types de menaces. Nous allons voir que l’Audit de sécurité est la démarche qui donne un « inventaire » des risques existants, ces risques doivent ensuite être analysés et évalués en vue d’élaborer un plan de sécurité efficace.

Un audit de sécurité informatique a pour objectif de fournir une image à un instant donné de l’état du système d’information en termes de vulnérabilités et de risques, par rapport à un « référentiel ».

Ce référentiel consiste en plusieurs documents et visions de l’état de sécurité souhaité. Ainsi il peut contenir des :

  • Textes juridiques : textes de loi, des circulaires, des articles de la réglementation interne…
  • Documents complémentaires : documents de référence en matière de politique de sécurité du système d’information (PSSI), le volet sécuritaire dans la base documentaire du système d’information…

Un rapport d’audit est ainsi réalisé recensant l’ensemble des vulnérabilités sans juger si elles sont tolérables, ceci fait partie de l’ « analyse de risques ».

Par exemple :

  • Une information est bien sécurisée conformément  au référentiel mais il existe des vulnérabilités; ces vulnérabilités doivent figurer sur le rapport d’audit. L’analyse de risques décidera de la nécessité d’en remédier.
  • Une donnée n’est pas sécurisée lors de l’usage d’un nouveau logiciel alors que le référentiel prévoie sa sécurisation ; cela donne lieu à une recommandation de sécurisation dans le rapport d’audit.

L’audit de sécurité est nécessaire à l’occasion de plusieurs faits :

Roue de Deming PDCA

  • Pour tester les répercussions de l’installation d’un nouvel outil.
  • En réaction à des intrusions, des attaques…
  • Analyser le niveau de sécurité du SI et son évolution (audit périodique).
  • Pour tester la mise en place effective de la PSSI.

Il repose plus généralement sur un process cyclique qui assure la qualité et la mise à niveau du système d’information comme l’illustre la Roue de Deming.

Il repose sur plusieurs pratiques qui permettront d’arriver à l’inventaire le plus exhaustif des vulnérabilités du système d’information :

  • Des réunions avec toutes les personnes intervenant sur le SI, notamment le DSI, les responsables de la sécurité des systèmes d’information (RSSI), les administrateurs…
  • Des tests d’intrusion déterminant les effets et les moyens nécessaires pour les intrusions.
  • Des analyse du SI : configuration réseau, mécanismes d’authentification, journalisation, …
  • De l’audit de code ou du Fuzzing selon la disponibilité du code source.

Cet audit de sécurité donnera ainsi une matière précise à analyser, elle sera la base de toute démarche d’élaboration d’un plan de sécurité pour un système d’information.

Quelques Liens :

Licence Creative Commons

Rudiments de sécurité informatique de Karim Eddarbouch & Julien Laurent (élèves de l’Ecole Centrale de Nantes, promo 2012, option informatique) est mis à disposition selon les termes de la licence Creative Commons Paternité – Pas d’Utilisation Commerciale 3.0 non transcrit.

Sécurité Informatique 1

sécurité_info_logo
Le but de ce projet est de connaître les méthodes existantes en matière de sécurité informatique, en faire des comparatifs, recenser les nouveautés. Ceci en vue d’en faire un rapport permettant à toute personne/entité novice en la matière de mettre en place une politique de sécurité des systèmes d’information.Le domaine de la sécurité informatique étant très vaste, 3 pistes d’exploration nous ont été conseillées. Notre travail consistera donc en l’étude de :

  • Plan de sécurité informatique :

Nous réaliserons une étude bibliographique sur les méthodes existantes depuis quelques années (méthodes Mehari, Ebios, etc…) et en ferons une description/comparaison. Pour cela, il faudra expliquer le principe d’un audit informatique qui est souvent le point de départ de chaque méthode.

Vérifier s’il n’existe pas de nouvelles méthodes, et les comparer aux précédentes.

  • Logiciels de sécurité :

Nous testerons ensuite des logiciels spécialisés en sécurité informatique (Nessus par exemple), et expliquerons quelques tests qui sont effectués sur un système d’information, pour en trouver les failles.

  • Trous de sécurité :

mission impossible

Suite aux résultats des logiciels de sécurité, des trous de sécurités seront révélés. Nous tenterons alors d’expliquer comment en boucher certains, pour renforcer la sécurité.

Ce travail a pour objectif d’être complété au fur et à mesure des avancées en matière de sécurité, par toute personne désirant partager ses savoirs/recherches. C’est pourquoi le rapport qui sera fourni sera librement utilisable par tous, sans but lucratif.

Licence Creative Commons

Rudiments de sécurité informatique de Karim Eddarbouch & Julien Laurent (élèves de l’Ecole Centrale de Nantes, promo 2012, option informatique) est mis à disposition selon les termes de la licence Creative Commons Paternité – Pas d’Utilisation Commerciale 3.0 non transcrit.