Systeme d'information
Stéphane Vialle p
Stephane.Vialle@supelec.fr http://www.metz.supelec.fr/~vialle
D’après les slides de Bernard Jouga et Véronique Alanou
Sensibilisation à la sécurité des systèmes d’informations
La Sécurité du SI
• Des risques réels
– Accidents, Erreurs, Malveillances – Pas forcément d’origine externe – Coût direct / indirect
Pertes financières moyennes liées à un incident de sécurité (en k$)
Source : CSI Survey (http://www.gocsi.com)
Types d’incidents détectés en 2008
Source: Menaces informatiques et pratiques de sécurité (CLUSIF 2008)
2
1
Sensibilisation à la sécurité des systèmes d’informations
Les Problèmes …
• Types de risques
– vol / modification / destruction de données ou de logiciel – dégradation d’un service (déni de service) – interne / externe, amusement / malveillance
• Types d’attaques
– – – – écoute (sniffing) mascarade attaque du service ou du protocole virus, chevaux de Troie, vers :
• virus : exécutable dans un document, un mail • cheval de Troie : envoi d’information à l’intérieur • ver : se déplace seul de machine en machine
Sensibilisation à la sécurité des systèmes d’informations
Quelques vecteurs d’attaques
• Collecte d’information
– informations publiques, scanning, sniffing, – mais aussi dans le train dans la poubelle … train, poubelle,
• Usurpation d’identité
– IP/DNS Spoofing, chevaux de Troie – Mais aussi social engineering
• Saturation
– DoS (Mail, Web, journalisation) – Mais aussi déclenchement de faux positifs
• Détournement de fonctions et codes malveillants
– ‘Exploits’ sur trappes logicielles, débordement de tampons – Virus, vers, keyloggers, …
2
Sensibilisation à la sécurité des systèmes d’informations
Quelques définitions …
• Confidentialité des données :
L’information ne doit être, ni rendue accessible, ni divulguée à un utilisateur, une entité ou un processus non autorisé utilisateur
•