Title: Que retenir ? (de vos cours 3IF et 4IF en r
1Que retenir ?(de vos cours 3IF et 4IF en
réseaux-sécurité)
2Référentiel de compétences Réseaux-Sécurité (1/2)
3Référentiel de compétences Réseaux-Sécurité (2/2)
4Rappels quelques protocoles de base...
- Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP,
SNMP, routage, authentification, IPSEC, ATM, POP,
SMTP, HTTP, TELNET, NFS, DNS et algos DES, RSA,
MD5, SHA - Lobjectif nest pas de connaître ces protocoles
par cœur mais de connaître leur structure et de
comprendre leurs fonctionnalités et limitations
5Application réseau / système réparti système
complexe (I)
- Concevoir une application réseau est un
assemblage complexe - comprendre les besoins
- installer - réserver les tuyaux (dimensionnement)
- structurer lapplication
- patrons de sécurité (security patterns)
- sous-réseaux - réseaux virtuels - plan
dadressage - tolérance aux fautes
- tolérance aux catastrophes
- survivabilité
- sécuriser lapplication
- mécanismes dauthentification
- cryptage
- gestion de droits (autorisations)
- pare-feux - réseaux virtuels VLAN - etc.
6Application réseau système complexe (II)
- définir les protocoles
- architecture logicielle
- schémas de communication
- librairie de communication
- Algorithmique
- interfacer lapplication
- interface systèmes sous-jacents (archives, SGBD,
serveurs de noms, serveurs sécurité , moteurs
transactionnels) - administrer lapplication
- architecture dadministration
- outils d administration, monitoring
7Transparence
- Le Graal des systèmes répartis
- La condition de leur utilisation
- Solutions et outils génériques
- Tolérance aux fautes et gestion de la qualité de
service - KISS Keep It Simple and (a bit) Stupid
- Everything should be made as simple as possible
as it can be, but not simpler (A. Einstein)
8Sécurité Que retenir ?Une notion de base le
risque
- Toutes les informations/tous les sous-systèmes
nont pas la même valeur - Toutes les informations/tous les systèmes ne sont
pas exposés aux mêmes menaces - Risque analyse valeur vs menace
- Rappel définition ISO 31000-2009 Le risque
est leffet de lincertitude sur les objectifs - Valeur/Menace/Risque ne sont pas des données
statiques elles dépendent des processus métiers
et de lenvironnement et évoluent avec eux
9Sécurité Que retenir ?Menaces
- Comprendre les menaces et le fonctionnement de
base des attaques - Analyser les risques, cest-à-dire relier
structure du système et menaces/attaques - Concevoir /Structurer un système en vue de
minimiser les risques tout en garantissant sa
performance (fonctionnalités, facilité
dutilisation, évolutivité, tolérance aux
fautes/robustesse, coût) (minimiser limpact sur
les processus métier !)
10Sécurité Que retenir ?Outils pour la sécurité
- Outils méthodologiques savoir que cela existe,
en comprendre le principe et lutilité - Outils techniques authentification/signature,
certificats, contrôle daccès, pare-feux, VLAN,
VPN, etc. en connaître les principes, les
fonctionnalités, les utilisations, les limites - Ce ne sont que des outils. L intelligence et
lefficacité résident surtout dans la bonne
utilisation de ces outils(sélection, intégration,
coordination, placement, paramétrisation)
11Rappel - Sécurité idées de base (I)
- Mettre en place une politique globale de gestion
du risque - Séparer les fonctions
- Minimiser les privilèges
- Centraliser les changements
- Cerner les IHM
- Mettre en place de plans de sauvegarde et de
reprise
12Rappel - Sécurité idées de base (II)
- Cibler les éléments vitaux/essentiels
- Utiliser des techniques de conception et de
programmation standardisées - Monitorer lensemble des éléments de lentreprise
systèmes informatiques, réseaux, personnel
(traçabilité) - Informer et former les personnels
13Rappel - Sécurité synthèse
- Sécurité compréhension du fonctionnement de
lentreprise de la méthodologie un peu de
technique du bon sens de la sensibilisation - Il existe des outils puissants mais aussi
beaucoup de failles de sécurité - Outils techniques IP secure, VLAN, VPN, IDS,
pare-feux, DLP, ERM - Outils méthodologiques PSSI, SMSI, security
patterns, survivabilité, confiance, réputation - Passage dune logique de piratage par un
individu à un spectre composite de menaces
espionnage industriel et militaire, surveillance,
criminalisation et mafia, attaques à grande
échelle, cyberguerre - Le facteur humain est central
- Complexification entreprise ouverte ,
externalisation, cloudification botnets,
advanced persistent threats (APT) , advanced
evasion techniques - Nécessité dune prise en compte globale au niveau
de lentreprise
14Nouvelles frontières
- Informatique multi-échelle de lobjet (du
composant dobjet) au cloud - Informatique partout ? Informatique pervasive
Internet des objets - Informatique user-centric
- Informatique business-centric
- Ecosystèmes numériques
- gt systèmes de plus en plus ouverts
- gt forte évolution des risques et menaces
- gt vers une sécurité collective notion de
confiance et de réputation - gt concepts de (protection de la) vie
privée/confidentialité interrogés gt notion
didentité/de moi numérique
15Conclusion
- Votre rôle comprendre-assembler-organiser-intégr
er des solutions vivantes - Numérisation de la société un horizon créatif
sans limite mais des nouveaux risques émergents - intelligence économique
- dépendance au SI et risque systémique
- cyber-attaques
- traçage des personnes, conditionnement/influence/c
ontrôle/surveillance des personnes, - Primum non nocere (Dabord, ne pas nuire) !
Interrogez-vous sur les conséquences et risques
de vos solutions (sur les processus métier de
lentreprise, sur lorganisation de lentreprise,
sur les performances du système impacté, en terme
de respect de la vie privée des personnes, en
terme de résistance aux attaques et
dysfonctionnements ) - Derrière les réseaux, vivent des personnes
soyez des ingénieurs humanistes -) !