|
|
|
|
|
Identifier les risques sur un SI |
|
Les classer |
|
Les chiffrer |
|
Pour concevoir les parades |
|
|
|
|
Des mod�les analytiques sont disponibles pour
chiffrer les risques en g�n�ral |
|
Nous allons en voir quelques exemples, appliqu�s
au cas de r�seaux connect�s � Internet |
|
|
|
|
|
|
|
Dans ce mod�le: |
|
Les vuln�rabilit�s augmentent le potentiel de la
menace |
|
Les contremesures r�duisent ce potentiel |
|
L�impact augmente le probl�me entier |
|
|
|
|
|
Evaluation probabilistique : |
|
�� Risque
= Pa x (1 � Pi) x C |
|
Pa: probabilit� de l�attaque |
|
Pi: Efficacit� des contremesures |
|
C : cons�quences de la perte de la ressource
consid�r�e |
|
|
|
|
|
Mes syst�mes sont-ils une cible potentielle ? Et
pour qui ? |
|
La menace la plus �vidente: les personnes |
|
Des pirates incomp�tents aux pirates talentueux |
|
Des curieux aux tr�s motiv�s |
|
|
|
|
|
Les personnes peuvent �tre regroup�es en 2
cat�gories: |
|
Les � insiders �: personnes perp�trant
l�agression de l�int�rieur (ex: employ�s, contractants, �) physiquement ou
logiquement |
|
Les � outsiders �: personnes agissant
de l�ext�rieur, et devant avant tout se doter d�une porte d�entr�e |
|
|
|
|
Jusqu�� r�cemment, la menace suppos�e la plus
importante est celle des � insiders � |
|
Maintenant, on tend � �quilibrer les deux |
|
Certains donnent m�me les ext�rieurs comme la
plus grosse menace (SANS, Janv. 2001) |
|
|
|
|
|
Quels sont leurs motifs ? |
|
Curiosit� |
|
D�fi |
|
Espionnage industriel |
|
Vandalisme |
|
Escroquerie |
|
Chantage |
|
� |
|
|
|
|
|
|
|
|
|
Les comp�tences des agresseurs (SANS Janv. 2001) |
|
30% curieux ou par accident |
|
50% vandales ou pirates amateurs avec quelques
comp�tences r�seaux |
|
16% professionnels de l�informatique, experts
s�curit� et programmeurs |
|
4% vrais cr�ateurs et innovateurs |
|
|
|
|
Le concept de vuln�rabilit� s�applique
essentiellement aux syst�mes suppos�s s�rs |
|
Peut aussi �tre absence d�lib�r�e ou non de
protection |
|
|
|
|
|
Vuln�rabilit�s = fautes op�rationnelles connues
ou non dans un syst�me de protection |
|
Et pouvant engendrer un incident de s�curit� |
|
On parle de faille � exploitable � ou
� non exploitable � |
|
|
|
|
|
Principalement |
|
Des fautes de conception (algorithme) |
|
Des fautes d�impl�mentation (coding mistake) |
|
Ces fautes �tant d�lib�r�es ou non |
|
D�s qu�elles sont publiques, font tr�s
rapidement l�objet de correctifs (patches) � installer |
|
|
|
|
|
De grandes classes de vuln�rabilit�s sont
connues |
|
De nouvelles vuln�rabilit�s sont d�couvertes
quotidiennement |
|
Les patches sont annonc�s dans les forums, sites
Web, listes de diffusion |
|
Sites web des constructeurs |
|
www.securityfocus.com |
|
Mailing list Bugtraq (cf. securityfocus) |
|
|
|
|
|
Janvier 2001: 3747 vuln�rabilit�s r�pertori�es
par le CERT depuis 1995 |
|
Statistiques (NIST, 2000): |
|
40% sont locales (lanc�es depuis la machine),
60% sont distantes |
|
23% affectent l�OS, 24% les parties r�seaux de
l�OS, 53% les applications, 5% le hardware, 0.4% les moyens de crypto |
|
53% violent les privil�ges (�l�vation de
privil�ges), 20% la confidentialit�, 19% l�int�grit� |
|
|
|
|
|
|
|
|
|
Certaines vuln�rabilit�s sont d�licates �
exploiter |
|
Donc limit�es aux agresseurs experts |
|
Cependant, avec le temps des outils automatiques
apparaissent |
|
Ils facilitent l�exploitation de la
vuln�rabilit� |
|
Ex: ADM NXT How-To: http://library.psyon.org/hacking/honeynet/forensics/NXT-Howto.txt |
|
|
|
|
|
|
|
|
Le cycle de vie des vuln�rabilit�s, un facteur
important |
|
Explique pourquoi il est extr�mement difficile
de contrer un agresseur comp�tent et d�termin� |
|
|
|
|
|
Les mat�riels et logiciels de s�curit� |
|
Fonctionnalit�s natives des OS |
|
Logiciels d�di�s: Firewalls, IDS |
|
La comp�tence des admins s�curit� |
|
La formation des utilisateurs |
|
Les lois en vigueur |
|
Les avertissements |
|
� |
|
|
|
|
|
Les contremesures feront l�objet d�un chapitre
d�di� |
|
Elles ont la propri�t� de s�additionner: |
|
Encryption + mots de passe forts + syslog +
administrateur comp�tent + � |
|
Mais peuvent elles-m�me introduire des risques
!!! |
|
|
|
|
|
D�apr�s l��quation des risques, l�impact est
directement multiplicatif par rapport � la menace |
|
L�impact est tr�s important � d�terminer |
|
Il permettra de concevoir des contremesures
adapt�es |
|
Adapt�es = dont le co�t est en rapport avec la
valeur de la ressource |
|
|
|
|
|
L�impact est une combinaison de: |
|
La valeur de la ressource pour l�entreprise |
|
D�une estimation des moyens � mettre en �uvre
pour corriger d��ventuels probl�mes |
|
|
|
|
|
La valeur d�une ressource n�est pas �vidente �
d�terminer |
|
Un site Web isol� du reste du r�seau peut �tre
compromis sans danger pour les donn�es sensibles |
|
Par contre la d�gradation de l�image de marque
peut engendrer des co�ts importants |
|
L�implication involontaire dans un piratage
(rebond) peut entra�ner de f�cheuses suites judiciaires. |
|
|
|
|
Crit�res appr�ciation internes � l�organisation |
|
R�sultats relatifs entre eux |
|
Utile pour �valuer la probabilit� d�un type
d�incident donn� |
|
|
|
|
Nombre d�intrusions d�clar�es |
|
|
|
|
|
|
|
Identifier les risques, menaces, une n�cessit�
avant d�envisager toute contremesure |
|
R�it�rer le calcul de risque apr�s
l�installation de ces contremesures |
|
Le calcul de risque ne s�applique pas qu��
Internet |
|
Toute menace possible sur le SI est � prendre en
compte (intrusion physique, t�l�phonique, �) |
|
|
|
|
|
|
|
Quantifier le risque de: |
|
La pr�sence d�une faille sur les serveurs Web
Microsoft IIS permettant de lire tout fichier sur le serveur |
|
La perte compl�te de l�acc�s Internet apr�s un
d�ni de service |
|
|
|
|
|
Pour les entit�s suivantes: |
|
Une entreprise A fournissant des composants
�lectroniques, et disposant d�un site Web h�berg� chez un prestataire. Ce
site Web contient en acc�s restreint aux clients (identifi�s par mots de
passe), le catalogue de la soci�t�. |
|
Une entreprise B de gestion de fonds de pension,
ayant un serveur Web contenant quelques pages statiques, et utilisant
Internet pour la consultation des informations financi�res ainsi que les
passages d�ordres. |
|
|
|
|
Identifier le plus grand nombre de risques li�s
� la liaison Internet pour un fabricant de produits de luxe. |
|
Identifier le plus grand nombre de risques li�s
� Internet pour une soci�t� d�armement. Les donn�es confidentielles sont
suppos�es situ�es sur un r�seau compl�tement s�par�. |
|