Cours Administration et sécurité

Cours Administration et sécurité

Cours d’ Administration et Sécurité de Serveurs et Services Internet Objectif Maîtriser les différents concepts et outils de sécurité destinés à mieux connaître et apprécier les enjeux de la sécurité informatique.

Apprendre aux étudiants les bases de la sécurisation de serveurs, le chiffrement avec SSH et la mise en place d’un pare-feu acquérir les connaissances et les compétences nécessaires ? l’implémentation, la surveillance et la maintenance de serveurs Etablir le lien entre l’administration de réseaux, services et Int systèmes d’informati Acquérir les concept gestlon de réseaux e Mettre en œuvre un éseaux et services s or 15 ministration et et/extranet. n et sécurité de sur des services Internet (hébergement, maintenance, securité).

Programme Chapitre 1 : Généralité sur la sécurité Chapitre 2 : Généralité sur les techniques de sécurité Chapitre 3 : Introduction à l’administration des réseaux et systèmes Chapitre 4 : gestion et sécurité des services Internet Chapitre 5 : Sécurite réseau Chapitre 6 : la sécurité système Chapitre 7 : introduction à la Cryptographie accidents dus à l’environnement, les défauts du système Domaine d’élection : les systèmes informatiques contrôlant des rocédés temps réels et mettant en danger des vies humaines (transports, énergie.. b) Sécurité – « Security » Protection des systèmes informatiques contre

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
des actions malveillantes intentionnelles. Domaine d’élection : les systèmes informatiques réalisant des traitements sensibles ou comprenant des données sensibles Minimisation de risques Différences entre une approche financière et une approche d’intolérance au risque. Informatique d’entreprlse classique • Pour tout risque mise en balance du coût du risque et du coût de sa protection. Informatique industrielle dite sécuritaire

Classification des pannes Pannes catastrophiques vs pannes non catastrophiques La panne catastrophique ne « devrait » pas se produire – Techniques très sévères de validation/certification – Mise en route d’un système si et seulement si une « confiance » très élevée lui est accordée. l- PRINCIPES DE LA SÉCURITÉ 1 . 1 Exigences fondamentales La sécurité informatique c’est l’ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles. Il convient d’identifier les exigences fondamentales en sécurité informatique.

Elles caractérisent ce à quoi s’attendent les utilisateurs de systèmes informatiques en regard de la sécurité • disponibilité : demande que l’information sur le système soit disponible aux personnes autorisées. 15 système ne puisse être modifiée que par les personnes autorisées. La sécurité recouvre ainsi plusieurs aspects : Clûintégrité des informations (pas de modification ni destruction) DÜconfidentialité (pas de divulgation à des tiers non autorisés) n nauthentification des interlocuteurs (signature) DÜrespect de la vie privée (informatique et liberté).

Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive. 1. 2 Étude des risques Les coûts d’un problème informatlque peuvent être élevés et ceux de la sécurité le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin d’identifier les problèmes potentiels avec les solutions avec les coûts associés.

L’ensemble des solutions retenues doit être organisé sous forme d’une politique de sécurité cohérente, fonction du niveau de tolérance u risque. On obtient ainsi la liste de ce qui doit être protégé. Il faut cependant prendre conscience que les principaux risques restent : « câble arraché » « coupure secteur « crash disque « mauvals profil utillsateur « test du dernier CD Bonux Voici quelques éléments pouvant servir de base à une étude de risque: est la valeur des équipements, des logiciels et surtout des informations ? CIOQuel est le coût et le délai de remplacement ?

DÜFaire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d’analyse des paquets, logs… ). DÛQuel serait l’impact sur la clientèle d’une information publique concernant des intrusions sur les ordinateurs de la société ? 1. 3 Établissement d’une politi ue de sécurité Suite à l’étude des risques PAGF 15 1. 3 Établissement d’une politique de sécurité Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut préparer une politique à l’égard de la sécurité.

C’est elle qui fixe les principaux paramètres, notamment les niveaux de tolérance et les coûts acceptable. Voici quelques éléments pouvant aider à définir une politique • Quels furent les coûts des incidents informatiques passés ? degré de confiance pouvez vous avoir envers vos utilisateurs interne ? CIOQu’est-ce que les clients et les utilisateurs espèrent de la sécurité ? DÛQuel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle devient contragnante ?

OCY a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l’externe ? DÜQuelle est la configuration du réseau et y a-t-il des services accessibles de l’extérieur ? sont les règles juridiques applicables à votre entreprise oncernant la securite et la confidentialité des informations (ex: loi « informatique et liberté », archives comptables… ) ? 1. 4 Éléments d’une politique de sécurité Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son maillon le plus faible.

En plus de la formation et de la sensibilisation permanente des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties : Défaillance matérielle : Tout équipement physique est sujet ? défaillance (usure, vieillissement, défaut… ) L’achat d’équipements de qualité et standard accompagnés ‘une bonne garantie avec support technique est essentiel pour minimiser les délais de remise en fonction. Seule une forme de sauvegarde peut cependant protéger les données.

Défaillance loeicielle : 5 Seule une forme de sauvegarde peut cependant protéger les données. Défaillance logicielle : Tout programme informatique contient des bugs. La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l’information ? risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type de problèmes peut contribuer à en diminuer la fréquence. Accidents (pannes, incendies, inondations… ) : Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes.

Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes • DÜdisques RAID pour maintenir la disponibilité des serveurs. de sécurité via le réseau (quotidienne) de sécurité dans un autre bâtiment (hebdomadaire) La disposition et l’infrastructure des locaux peut aussi fournir une protection intéressante. Pour des sites particulièrement important (site informatique central d’une banque… il sera nécessaire de prévolr la possibilité de basculer totalement et rapidement vers un site de secours (éventuellement assuré par un sous-traitant spécialisé).

Ce site devra donc contenir une copie de tous les logiciels et matériels spécifiques à l’activité de la société. Erreur humaine : Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème. Vol via des dispositifs physique (disques et bandes) : Contrôler l’accès à ces équipements : ne mettre des unités de disquette, bandes… que sur les ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillances. Virus provenant de disquettes : Ce risque peut être réduit en limitant le nombre de lecteur de disquettes en service.

L’installation de programmes antiviru PAGF s 5 L’installation de programmes antivirus peut s’avérer une protection efficace mais elle est coûteuse, diminue la productivité, et nécessite de fréquentes rnlses à jour. Piratage et virus réseau : Cette problématique est plus complexe et l’omniprésence des réseaux, notamment l’Internet, lui confere une importance particulière. Les problèmes de sécurité de cette catégorie sont particulièrement dommageables et font l’objet de ‘étude qui suit. 1. Principaux défauts de sécurité Les défauts de sécurité d’un système d’information les plus souvent constatés sont : OCInstallation des logiciels et matériels par défaut. Mises à jours non effectuées. DÛMots de passe inexistants ou par défaut. CIDSeNices inutiles conservés (Netbios… ). DÜTraces inexploitées. CIOPas de séparation des flux opérationnels des flux d’administration des systèmes. DOProcédures de sécurité obsolètes. ClûEléments et outils de test laissés en place dans les configurations en production. CINAuthentification faible. DÛTélémaintenance sans contrôle fort. l- Politique de sécurité 11. 1 Définition Une politique de sécurité est un ensemble de règles qui fixent les actions autorisées et interdites dans le domaine de la sécurité. 11. 2 Étapes types dans l’établissement d’une politique de sécurité – Identification des vulnérabilités . En mode fonctionnement normal (définir tous les points faibles) . En cas d’apparition de défaillances un système fragilisé est en général vulnérable : c’est moments intermédiaires chacune des menaces – Évaluation du coût d’une intrusion réussie – Choix des contre mesures Évaluatlon des coûts des contre mesure – Décision 11. Les méthodologies de sécurité Réalisées par des grands utilisateurs de techniques de sécurité ou des groupes de travail elles sont applicables par des prestataires de service sous forme d’audit de sécurite analyse de risques propositions d’actions pour améliorer la situation 11. 3. 1 Méthode M. A. R. I. O. N Méthode d’Analyse des Risques Informatiques et Optimisation par Niveau. (à partir de 1984) Norme : CLIJSIF: Club des Utilisateurs de La Sécurité Informatique Français APSAD: Assemblée Pleinière des Sociétés d’Assurances

Dommages Objectif: Mettre en place le schéma directeur de la sécurité des systèmes d’information SDSSI Trois approches selon le sujet traité: Marion-AP (avant-projet) (Applicable aux grands comptes et aux compagnies d’assurance) – Marion-PME – Marion-RSX (Applicable aux réseaux) La Méthode Marion Les six étapes d’élaboration du Schéma Directeur de Sécurité du Système d’Information a) Analyse des risques Établissement de scénarios de risques courus par l’entreprise. ) Expression du risque maximum admissible Calcul de la perte maximale subie par l’entreprise face à des ?vénements mettant sa survie en péril c) Analyse des moyens de la sécurité existants Identifier et qualifier les mo ens de la sécurité (organisation générale, physique et logi PAGF 7 5 mettre en oeuvre ou à ameliorer pour supprimer les risques en fonction des contraintes et du coût parade/risque f) Plan d’orientation phase de bilan définissant le plan technique détaillé et rédaction finale du SDSSI. 11. 3. 2 Méthode M. E. L. I. S.

A Délégation générale à l’armement 1985. MÉLISA S – Confidentialité des données sensibles MELISA P – Pérennité de fonctionnement du système MELISA M – Sécurité micro mini informatique MELISA. R- Sécurité réseau Ill Les problèmes de la sécurité des données Ill. 1 Confidentialité des données Cest la propriété qui assure que seuls les utilisateurs habilités, dans des conditions prédéfinies, ont accès aux informations. Dans le domaine de l’entreprise cette garantie concerne – le droit de propriété . des secrets de fabrication . es informations stratégiques entreprise – niveau de production, de résultats – fichier clientèle – le droit des individus . défini par la loi informatique et Liberté 111. 2 Intégrité des données Cest la propriété qui assure qu’une information n’est modifiée que dans des conditions pré définies (selon des contraintes précises) Contraintes d’intégrité : l’ensemble des assenons qui définissent la cohérence du système d’information. Exemples : -Toute règle de cohérence d’une base de données -Une modification intempestive (même très temporaire) est ? interdire (modification de bilan our une journée). e signature est que le signataire est le seul à pouvoir réaliser le graphisme (caractérisation psychomotrice)… Entités à authentifier. – une personne – un processus en exécution ne machine dans un réseau Ne pas confondre authentification avec confidentialité ou intégrité L’authentification c’est un moyen clé de la sécurité pour assurer: – la confidentialité Celui qui lit une donnée est bien celui qui est autorisé à le faire (pour chaque fichier) l’intégrité Idem : il ne suffit pas d’assurer l’intégrité des données.

Celui qui a émis un message, un virement, est bien celui dont le nom figure dans le message, le virement 111. 4 Non répudiation Cest la propriété qui assure que l’auteur d’un acte ne peut ensuite dénier l’avoir effectué. Signature (au sens habituel) = Non répudiation : La seconde idée contenue dans la notlon habituelle de signature est que le signataire s’engage à honorer sa signature: engagement contractuel, juridique, il ne peut plus revenir en arrière.

Deux aspects spécifiques de la non répudiation dans les transactions électroniques: a) La preuve d’origine Un message (une transaction) ne peut être dénié par son émetteur. b) La preuve de réception Un récepteur ne peut ultérieurement dénier avoir reçu un ordre s’il ne lui a pas plu de l’exécuter alors qu’il le devait juridiquement. Exécution d’ordre boursier, de commande, donné par les utilisateurs. L’indisponibilité est une composante de la sécurité en ce sens qu’elle entraîne des pertes financières. Fiabillté L’aptitude d’un système informatique à fonctionner correctement de maniere continue pendant une période donnée (idée habituelle de pérennité). IV Les menaces L’ensemble des actions de l’environnement d’un système pouvant entrainer des pertes financières. IV. 1) Menaces relevant de problèmes non spécifiques ? l’informatique (hors du domaine de ce cours) Risques matériels accidentels Techniques de protection assez bien maîtrisées Incendie , explosion ,lnondation, tempête, Foudre

Vol et sabotage de matériels Vol d’équipements matériels, Destruction d’équipements, Destruction de supports de sauvegarde Autres risques Tout ce qui peut entrainer des pertes financières dans une société (pertes plutôt associées à ‘organisation, à la gestion des personnels) Départ de personnels stratégiques Grèves IV. 2) Les pannes et les erreurs (non intentionnelles) Pannes/dysfonctionnements du matériel. pannes/dysfonctionnements du loglciel de base. Erreurs d’exploitation. oubli de sauvegarde écrasement de fichiers Erreurs de manipulation des informations. erreur de saisie