club de la sécurité de l’information régional clusirlr gilles lucato transferts lr

Nov 2008 – UM3 1

Club de la Sécurité de l’Information Régionalwww.clusirlr.info

Gilles LUCATOTransferts LR

Nov 2008 – UM3 2

Plan Sécurité Des Systèmes d’Informations

Le constat alarmant Des exemples réels Que faut-il protéger? De quoi? Comment?

Nov 2008 – UM3 3

Constat FBI CSI 2007In total, 194 responses yielded losses of $66,930,950, up from $52,494,290 (for 313 respondents) in 2006.

Nov 2008 – UM3 4

Constat FBI CSI 2007The response indicates that respondents who detectedincidents tended to detect more of them than in past years, with the number who detected more than 10 incidents jumping from 9 to 26 percent.

Attaques

Nov 2008 – UM3 5

Attaques

Nov 2008 – UM3 6

Affaire Dupont

Nov 2008 – UM3 7

Affaire Dupont

Nov 2008 – UM3 8

Affaire Duracell

Nov 2008 – UM3 9

Site piégé

Nov 2008 – UM3 10

Failles industrielles

Nov 2008 – UM3 11

Nov 2008 – UM3 12

Constat CLUSIF édition 2006

Nov 2008 – UM3 13

Constat CLUSIF édition 2006

Nov 2008 – UM3 14

Constat CLUSIF édition 2006

Nov 2008 – UM3 15

Constat CLUSIF édition 2006

Nov 2008 – UM3 16

Constat CLUSIF édition 2006

Nov 2008 – UM3 17

Constat CLUSIF édition 2006

Nov 2008 – UM3 18

Constat CLUSIF édition 2006

Nov 2008 – UM3 19

Exemple 1

Carte Bleue Banque

Nov 2008 – UM3 20

Exemple 2

Carte Bleue Essence

Exemple 3

Carte Bleue Vol

Nov 2008 – UM3 21

Nov 2008 – UM3 22

Que faut-il protéger?

Bâtiments– Accès– Alimentation électrique– Téléphonie / Internet

Personnes– Sensibilisation, charte, formation

Matériels– Accès aux serveurs, PCs, …– Accès aux routers, firewalls, …– Accès aux outils de sauvegardes

Logiciels– Copies de sauvegardes

Données– Noires– Grises– Blanches

Nov 2008 – UM3 23

Protéger ses données

Noires– Comptabilité : affaire Airbus

– Commandes/BL : affaire Edi par le Web

– Secrets de fabrications

– Mots de passe

– Paramétrage des routers et firewalls

– Comptes web, mail, ftp, mysql, …

Grises– Liste des clients

– Liste des fournisseurs

– Gammes de tarifs

– Bons de commandes, factures, …

– Carnets d’adresses et emails échangés

Blanches– Site web

– Documents commerciaux

Nov 2008 – UM3 24

Se protéger de quoi?

Attaques internes– Pannes– Sabotages, chantage– Divulgations, vols

Attaques externes– Social enginering– Intrusions– Virus / Espions– Spam– Hackers– Clients / fournisseurs

Nov 2008 – UM3 25

Se protéger, comment?

Aspects juridiques– Loi Informatique et Liberté 78, Art 226-17 à 24– Loi Godfrain 88, Art 323-1 à 7

Aspects humains– Sensibilisation– Formation

Aspects techniques– Accès– Anti vol– Informatique (sauvegardes, anti virus, anti espions, anti spam, …)

Nov 2008 – UM3 26

Aspects juridiques

Loi Informatique et Liberté 78– http://www.commentcamarche.net/droits/loi78-17.php3

Code pénal Art 226-16 à 24– http://www.cnil.fr/index.php?id=303

Art. 226-17 Le fait de procéder ou de faire procéder à un

traitement de données à caractère personnel sans mettre en œuvre les mesures de sécurité adéquates est puni de cinq ans d'emprisonnement et de 300.000 € d'amende.

Nov 2008 – UM3 27

Aspects juridiques

Loi Godfrain 88– http://www.commentcamarche.net/droits/loi-godfrain.php3

Code pénal Art 323-1 à 7– http://lexinter.net/Legislation2/atteintesinformatiques.htm

Art. 323-2 Le fait d'entraver ou de fausser le fonctionnement

d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 300.000 F d'amende.

Nov 2008 – UM3 28

Aspects humains

Politique de Sécurité– Que protège-t-on et comment– Système d’évaluation

Le RSSI– Le Monsieur Sécurité

Charte des employés Plan de Reprise d’Activité Audit de sécurité

Affiche SensibilisationClusir-LR

Nov 2008 – UM3 29

Aspects techniques informatiques

Mots de passe– outil

Sauvegardes– À distance, référentiel AFAQ

Cryptage– Compta– Mail confidentiel

Signature électronique– Tous les mails– Documents contractuels

Anti virus Anti espions Anti intrusions Anti spam

Cédérom SécuritéClusir-LR

http://poletiim.nerim.net

Nov 2008 – UM3 30

Outils gratuits

Mots de passe– KeyPass en français– http://keepass.sourceforge.net/

Sauvegardes– SyncBack en français– http://www.2brightsparks.com/syncback/syncback-hub.html– CDBurnerXPPro en français– http://www.cdburnerxp.se/

Cryptage– TrueCrypt en anglais– http://www.truecrypt.org/– WinPT en français– http://winpt.sourceforge.net/

Nov 2008 – UM3 31

Anti virus

Obligation– Mise à jour quotidienne

Difficultés– Que fait-on quand il y a un virus?

• Quarantaine• Supprimer• Nettoyer• …

– Les virus arrivent par mail ET web

Il y a des antivirus gratuits efficaces (en anglais)

Nov 2008 – UM3 32

Anti espions

Obligation– Mise à jour mensuelle, pour l’instant

Difficultés– Aucune : toujours nettoyer– Les espions arrivent par le web

Il y a des anti espions gratuits efficaces en français

Nov 2008 – UM3 33

Anti intrusions (firewall)

Obligation– Mise à jour : aucune

Difficultés– Règles de comportement

• Liste rouge : bloqués• Liste orange : sous certaines conditions• Liste verte : autorisés

– Station locale et port local (localhost, 127.0.0.1)– Serveur distant et port distant (80, 25, 110)– Netbios– Les « pirates » utilisent des outils automatisés

Il y a des anti intrusions gratuits efficaces (en anglais)

Nov 2008 – UM3 34

Anti spam

Obligation– Mise à jour : aucune

Difficultés– Règles de comportement

• Liste rouge : bloqués• Liste orange : sous certaines conditions• Liste verte : autorisés

– Type : POP, Proxy– A qui sert le spam?

Il y a des anti spam gratuits efficaces en français

Démo de Clé sécurisée

Navigateur sécurisé Mots de passe FTP Mail Agenda/contacts PDF Images Nettoyeurs …

Nov 2008 – UM3 35