Que retenir ? (de vos cours 3IF et 4IF en r

1
Que retenir ?(de vos cours 3IF et 4IF en
réseaux-sécurité)
2
Référentiel de compétences Réseaux-Sécurité (1/2)
3
Référentiel de compétences Réseaux-Sécurité (2/2)
4
Rappels quelques protocoles de base...

• Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP,
  SNMP, routage, authentification, IPSEC, ATM, POP,
  SMTP, HTTP, TELNET, NFS, DNS et algos DES, RSA,
  MD5, SHA
• Lobjectif nest pas de connaître ces protocoles
  par cœur mais de connaître leur structure et de
  comprendre leurs fonctionnalités et limitations

5
Application réseau / système réparti système
complexe (I)

• Concevoir une application réseau est un
  assemblage complexe
• comprendre les besoins
• installer - réserver les tuyaux (dimensionnement)
• structurer lapplication
• patrons de sécurité (security patterns)
• sous-réseaux - réseaux virtuels - plan
  dadressage
• tolérance aux fautes
• tolérance aux catastrophes
• survivabilité
• sécuriser lapplication
• mécanismes dauthentification
• cryptage
• gestion de droits (autorisations)
• pare-feux - réseaux virtuels VLAN - etc.

6
Application réseau système complexe (II)

• définir les protocoles
• architecture logicielle
• schémas de communication
• librairie de communication
• Algorithmique
• interfacer lapplication
• interface systèmes sous-jacents (archives, SGBD,
  serveurs de noms, serveurs  sécurité , moteurs
  transactionnels)
• administrer lapplication
• architecture dadministration
• outils d administration, monitoring

7
Transparence

• Le Graal des systèmes répartis
• La condition de leur utilisation
• Solutions et outils génériques
• Tolérance aux fautes et gestion de la qualité de
  service
• KISS Keep It Simple and (a bit) Stupid
• Everything should be made as simple as possible
  as it can be, but not simpler (A. Einstein)

8
Sécurité Que retenir ?Une notion de base le
risque

• Toutes les informations/tous les sous-systèmes
  nont pas la même valeur
• Toutes les informations/tous les systèmes ne sont
  pas exposés aux mêmes menaces
• Risque analyse  valeur vs menace 
• Rappel définition ISO 31000-2009  Le risque
  est leffet de lincertitude sur les objectifs 
• Valeur/Menace/Risque ne sont pas des données
  statiques elles dépendent des processus métiers
  et de lenvironnement et évoluent avec eux

9
Sécurité Que retenir ?Menaces

• Comprendre les menaces et le fonctionnement de
  base des attaques
• Analyser les risques, cest-à-dire relier
  structure du système et menaces/attaques
• Concevoir /Structurer un système en vue de
  minimiser les risques tout en garantissant sa
  performance (fonctionnalités, facilité
  dutilisation, évolutivité, tolérance aux
  fautes/robustesse, coût) (minimiser limpact sur
  les processus métier !)

10
Sécurité Que retenir ?Outils pour la sécurité

• Outils méthodologiques savoir que cela existe,
  en comprendre le principe et lutilité
• Outils techniques authentification/signature,
  certificats, contrôle daccès, pare-feux, VLAN,
  VPN, etc. en connaître les principes, les
  fonctionnalités, les utilisations, les limites
• Ce ne sont que des outils. L intelligence  et
  lefficacité résident surtout dans la bonne
  utilisation de ces outils(sélection, intégration,
  coordination, placement, paramétrisation)

11
Rappel - Sécurité idées de base (I)

• Mettre en place une politique globale de gestion
  du risque
• Séparer les fonctions
• Minimiser les privilèges
• Centraliser les changements
• Cerner les IHM
• Mettre en place de plans de sauvegarde et de
  reprise

12
Rappel - Sécurité idées de base (II)

• Cibler les éléments vitaux/essentiels
• Utiliser des techniques de conception et de
  programmation standardisées
• Monitorer lensemble des éléments de lentreprise
  systèmes informatiques, réseaux, personnel
  (traçabilité)
• Informer et former les personnels

13
Rappel - Sécurité synthèse

• Sécurité compréhension du fonctionnement de
  lentreprise de la méthodologie un peu de
  technique du bon sens de la sensibilisation
• Il existe des outils puissants mais aussi
  beaucoup de failles de sécurité
• Outils techniques IP secure, VLAN, VPN, IDS,
  pare-feux, DLP, ERM
• Outils méthodologiques PSSI, SMSI, security
  patterns, survivabilité, confiance, réputation
• Passage dune logique de  piratage  par un
  individu à un spectre composite de menaces
  espionnage industriel et militaire, surveillance,
  criminalisation et mafia, attaques à grande
  échelle, cyberguerre
• Le facteur humain est central
• Complexification  entreprise ouverte ,
  externalisation,  cloudification  botnets,
   advanced persistent threats (APT) ,  advanced
  evasion techniques 
• Nécessité dune prise en compte globale au niveau
  de lentreprise

14
Nouvelles frontières

• Informatique multi-échelle de lobjet (du
  composant dobjet) au cloud
• Informatique partout ? Informatique pervasive
  Internet des objets
• Informatique  user-centric 
• Informatique  business-centric 
• Ecosystèmes numériques
• gt systèmes de plus en plus ouverts
• gt forte évolution des risques et menaces
• gt vers une  sécurité collective  notion de
  confiance et de réputation
• gt concepts de (protection de la) vie
  privée/confidentialité interrogés gt notion
  didentité/de  moi  numérique

15
Conclusion

• Votre rôle comprendre-assembler-organiser-intégr
  er des solutions  vivantes 
• Numérisation de la société un horizon créatif
  sans limite mais des nouveaux risques émergents
• intelligence économique
• dépendance au SI et risque systémique
• cyber-attaques
• traçage des personnes, conditionnement/influence/c
  ontrôle/surveillance des personnes,
•  Primum non nocere  (Dabord, ne pas nuire) !
  Interrogez-vous sur les conséquences et risques
  de vos solutions (sur les processus métier de
  lentreprise, sur lorganisation de lentreprise,
  sur les performances du système impacté, en terme
  de respect de la vie privée des personnes, en
  terme de résistance aux attaques et
  dysfonctionnements )
• Derrière les réseaux, vivent des personnes
  soyez des ingénieurs humanistes -) !