Please enable JavaScript.
Coggle requires JavaScript to display documents.
Introduction à la sécurité des systèmes - Coggle Diagram
Introduction à la sécurité des systèmes
Cryptographie
Chiffrements
Hash function
Il est mixé avec la signature, qui au lieu de signé un document tout entier qui prendrerait du temps, on va calculer le hash du message puis on va signer le hash avec la clé privé et l'envoyé au destinataire qui va reasher le messager et puis déauthentifier la signer pour verifier si les hash correspondent
Propriété
Il doit être difficile de trouver deux fois même résumé (sans message donnée cette fois) (troisième)
Pour un message donnée précis, il ne doit pas être possible de trouver deux fois le même résumé (deuxième)
Il y aura forcément plusieurs message différent qui donneront le même résumé
On est pas capable de retrouver le message en entier à partir du résumé (premier)
Compresse le document
requirement
Facile à manier
Doit être plus court
Même fonction=même document
Application storing passwords
utilisation du salt
Permet de rajouter une étape lors de l'authentification du mot de passé, de ce faire le hacker doit toujours refaire une nouveau dictionnaire pour chaque compte qu'il voudrai hacker
le salt est une sorte de IV aléatoire qui sera hashé avec le mot de passe, il sera différent pour chaque utilisateur
Rajouter plusieurs hashage, ralentir le server mais aussi le hacker
Plus de notion de clé, c'est public
Verifier à partir d'un résumé, si on a bien tous les deux le même document
AEAD (chiffrement authentifier)
C'est le standard d'aujourd'hui
Plus rapide
Une partie chiffré et une partie non chiffré mais également authentifier
Transposition
Les symboles sont déplacés, mais leur valeur ne change pas.
Substitution
les symboles sont remplacés selon une certaine transformation, mais leur position ne change pas
Symétrique
une méthode de cryptographie dans laquelle une clé unique est responsable du cryptage et du décryptage des données.
Par bloc
une méthode de chiffrement qui applique un algorithme déterministe avec une clé symétrique pour chiffrer un bloc de texte, plutôt que de chiffrer un bit à la fois comme dans les chiffrages par flux.
Mode opératoire
manière de traiter les blocs de texte clairs et chiffrés au sein d'un algorithme de chiffrement par bloc.
IV (vecteur initial)
Tous les modes (à l’exception d’ECB) requièrent un ‘vecteur d’initialisation’. C’est un bloc de données aléatoires pour démarrer le chiffrement du premier bloc et fournir ainsi une forme de hasard indépendant du document à chiffrer
N'a pas besoin d'être secret
Doit être imprédictible
Catégories
ECB
Chaque bloc de texte est divisé et chiffré de la même manière
CBC
applique sur chaque bloc un XOR avec le chiffrement du bloc précédent avant qu’il soit lui-même chiffré
CTR
Le flux de clé est obtenu en chiffrant les valeurs successives d’un compteur.
Pour découvrir le texte lorsqu'on a la clé et IV, on a pas besoin de déchiffré, il suffit juste de rechiffrer pour avoir le résultat
Pour déchiffrer le dernier bloc, il suffit juste de passer par le dernier compteur directement, on a pas besion de passer par les anciens block de chiffrement pour découvrir celui qui suit
One-time pad
Condition sur la clé
Complétement aléatoire
La clé doit être échangé de manière totalement sécurisé
Utilisé une seule fois
Stocké dans un lieu sûr
Sécurité parfaite
Avec une puissance de calcule illimité, une interception illimité de donnée, et l'utilisation de n'importe quel technique. Il est impossible d'obtenir une quelconque information
Probabiliste
Le même message, crypté plusieurs fois, avec la même clé, donne des cryptogrammes différents.
Asymétrique
La personne à qui on veut envoyé des donnée, c'est lui qui doit fabriquer une clé publique et privé, ensuite on utilisera sa clé publique pour chiffrer notre message et lui envoyer
Le message qu'on envoie au destinataire, on n'est pas capable de le déchiffrer après l'avoir chiffrer, il n'ya que celui chez qui on a enoyé la clé qui sera capable
Deux clés
Une clé publique de chaque personnes
Permet de chiffrer uniquement des messages
Une clé privé que seule la personne connait
Permet uniquement de déchiffrer
Mode d'encryption
RSA , dangereux si utilisé tout seul
Clé RSA est 30 fois plus lnog qu'une clé AES
Très lent comparé au symétrique
Donc utilisé avec le chiffrement symétrique, on chiffre la clé symétrique puis on l'envoie asymétriquement
Key agreement protocol
fabriquer une clé commune sur un canal publique
Diffie-hillmane
Alice fait un pot de peinture et Bob fait un pot de peinture chacun mettant leur composant ensuite les deux s'echange leur pots de peinture et remette leur composant et mélange le tout, au final ils auront tous les deux le même pot de peinture
Basé sur l'hypothèse que "discret algorithm" est dur à résoudre
Diffie-hillmane ne suffit pas avec man in the middile alors il faudra une authentification pour savoir avec qui on parle
Digital signature
Ce document identifie son auteur contrairement au MAC
Asymétrique
Celui qui envoie le message le signe avec sa clé privé et celui qui reçoit le message vérifie qu'il s'agit bien de lui en déchiffrant avec la clé publique de la personne qui envoit
Symetric case: Message Authentification Code (MAC)
Ne marche que dans une communauté fermé où tout le monde se fait confiance
ceci parce qu'on sait pas verifier qui a modifier quoi que ce soit . Même si on donnait la clé privé aux autre, on serait pas qui a écrit le message
Seules les personne possèdant la clé peuvent pouvoir modifier le message
Permet de verifier l'authentification d'un utilisateu pour éviter man in the middle
Dépend de
Si une donnée du message ou de la clé est différente, l'authentification sera différent
la clé secret, identique entre les participant
Message
Fait croire à Alice que je suis Bob et fait croire à Bob que je suis Alice, alors j'aurai les deux clés
Certtification path
Remonter le chemin de verification jusqu'a une personne de confiance
Root certificate
Point de départ où on fait confiance
Deux question se pose
Puis-je vraiment faire confiance à cette autorité
Comment savoir si le certificat que je reçois est bien à l'autorité de base même si on lui fait confiance
Fournie de base en installant les logiciels
Il n'y aucun raisons de garder autant de racine de certification sur le navigateur lorsqu'on ne souhaite accéder qu'à un seule site
Certificate revocation lists (CRL)
Un certification permettant de dire qu'un tel certificat n'est plus valable (en cas de vol de clé privé par exemple)
Il a besoin d'être signé sinon on pourrait en fabriquer par des gens malvaillant
Certificat gratuit
Le client d'un site web envoie son nom de domain ainsi que sa clé verte à service de certification web et pour verifier qu'il s'agit bien du propriétaire de la clé public ainsi que du site le service lui demande de crypté son site avec sa clé privé pour pouvoir s'il pourra le déchiffrer avec la clé public et il lui demande de signé à un endroit du site. De ce fait le service pourra verifier qu'il est bien le propriétaire du site et inscrit sa certification
Chiffrement sécurisé
Incapable de retrouvé une quelconque information du texte clair
Incapable de retrouvé un caractère du texte en claire
Incapable de retrouver le texte en claire
incapable de retrouvé la clé
Définition
L'hypothèse de Kerckhoffs
Il ne connait pas la clé
L'attaquant connait tous les détails de l'algorithme
Codebook
Désavantage
Le fait d'utiliser trop souvent, l'ennemie fini par comprendre
Si l'ennemie le chope
Dictionnaire contenant les mots de remplacement d'un texte claire
2 displines
Cryptanalyse
Cryptographie
Disponibilité
être accessible et utilisable par son destinataire autorisé à l’endroit et à l’heure prévue
Intégrité/Authentificité
assurer qu’une donnée reste exacte et consistante à travers son cycle de vie
Confidentialité
n’être accessible qu’à ceux qui sont autorisés.
ISO
LES POLITIQUES DE SÉCURITÉ
Politiques de sécurité
Document formalisant les règles à suivre
Scope
A quel thème s'applique t'elle
A qui s'applique t'elle
Conséquences du non-respect
Comment verifier que les règles sont suivies
Quels sont les actions quand les règles ne sont pas suivies
Security rules
1 règles = une ligne ou un paragraphe
Quels sont les règles à suivre
Obligatoire
Si dérogation alors mesure compensatoire
doit être des supplément de sécurité
techniques ou organisationnelle
Standards de sécurité
Ensemble de mesure à prendre
Rédigé par les experts du produit
Technique ou organisationnelle
Pas obligatoire
Parfois plusieurs standars pour un même produit
Guidelines de sécurité
Ligne montrant comment mettre en oeuvre les standars de sécurité
Pas obligatoire
aussi dit "Best-practices"
Améliore la sécurité ou facilite l'implémentation
Procédure de sécurité
Marche à suivre pour sécurisé un produit
Réalisé pas-à-pas
Rédigé par des expers
Obligatoire de suivre
ORGANISATION ET GESTION DE LA
SÉCURITÉ
Objectif
Gérer le fonctionnement de la sécurité dansl'organisation
Aligner la sécurité avec
Le personnel
Business Unit
Fonction support
Direction
Gouvernance de sécurité
Principe de sécurité
Principe adopté pour assurer la sécurité
Rôles et responsabilité
CEO (Chef de l'entreprise)
CISO ( Chef de la sécurité)
CIO (Chef des équipe IT)
DPO (Chef des donnée personnel)
Data Owner (chef de la classification des donnée)
Data custodian (Responsable de l'implémentation des protections définie dans les politiques de sécurité)
User (assingé à toute personne qui a accès au système d'information)
Auditor ( Revoir si les politiques de sécurité sont correctement appliqué)
Matrice Raci
Accountable (Responsable de l'avancement de l'action)
Responsible (personne qui réalise l'action)
Consulted (personne que l'on consulte pour obtenir un avis)
Informed (la personne qui doit être informé sur la réalisation du projet)
Audit de sécurité
La Direction rédige une déclaration dans laquelle elle marque son intérêt et son
engagement dans la protection du capital informationnel de l’entreprise
Le cardre
Mission de l'entreprise
Les buts
Les stratégie
PHYSICAL SECURITY
Menaces physiques
Voles de matériels
Accès aux systemes d'information
Acces aux systemes de telecommunication
Destruction volontaire/ involotaires ( Accidents et Erreurs humaines)
Attaques ciblées complexes
Menaces environnement
Situation géographique
Visibilité et acces aux sites
Désastres naturels
Conception des batiments
Obligation de sécurité physique
PCI-DSS
C'est un framework de sécurité pour les entreprises du secteur bancaire
Développé et maintenu par les operateurs des cartes de crédit
Obligation pour les opérateurs de se conformer de ce conformer a ce standard
Condition 9 : Restreindre l'accès physique aux données du titutalire
Directive NIS (directive network inforamtion security)
C'est quoi ? : Protection des infrastructures des opératuers d'importance vitale
Producteurs et fournisseurs d'énergies, de carburants, d'eau potable
Secteur bancaire
Secteurs du transport
Secteur des télécoms
Principes de sécurité physique
Protéger les accès
Au site
aux équipements dans les data centers
Protection des équipements en :
Securisant des serveurs et des equipements reseau
Boot psw
BIOS pwd
aux locaux techniques
Au data center
Améliorer
Standardiser
Nettoyer
Ranger
Trier
Condition environementales
Humidité
Temperature
Restreindre les accès aux seuiles personnes autorisées
Restreindre les accès hors des heures d'intervention
Garder un log book des accès
Toutes les personnes doivent etre identifiables
Ne pas laisser les visiteurs non accompagnés
Protection des accès physiques au site
Protection du site
Cloture de sécurité infrachissable
Postes de garde
Prévoir au moins 3 zones :
Public
Réservé aux personnels
Acces restreint
caméras de surveillance
Respect des lois pour usage de caméras
Infrastructure surveillance = autonome
No connexion avec LAN des serveurs
Sélection et aménagement
Les risques de désastres naturels et risques externes
Inondations
Incendies
Les tremblements de terre
Les conséquences des conflits, menaces terroristes
Les accès
Types d'accès aux sites
Routes
Aéroport
héliport
surveillance des entrées de véhicules
Pas placer le data center a coté d'un parking
Vérifier toutes les entrées et sorties des vehicules
Les fournitures d'éléctricité et de télécommunication
Segmentation
Redondance
Protection contre les incendies
Ne pas utiliser l'eau
Utiliser un gaz qui réduit la quantité d'oxygène le local
Classes de feux
VOIR LE TABLEAU SLIDE 126
Dans les locaux techniques
Alarmes
Porte de sécurité, fermeture à 1 ou 2 clés
Dans le data center
Tourniquet 1 personne
Portes coupe-feu
LOGICAL ACCESS CONTROL
Identification
moyens
user-id, smart card etc
types d'identifiants
identifiants personnels, génériques, applicatifs et administratifs
identifiants != compte
identifiant = chaine de caractère unique à un compte
un compte contient toutes les informations d'un utilisateur
Authentification
Vérifie l'identité de la personne (via mot de passe etc.)
3 types d'authentifications
something you know
something you have
something you are/do
il est parfois nécessaire de rajouter une couche d'authentification
authentification à 2 facteurs
Authentification forte
AAA : authentification, autorisation, audit
un serveur sur le net doit avoir une authentification plus robuste qu'un serveur qui est pas sur le net
Zero Knowledge Proof
Le prouveur renvoie sa réponse au vérificateur qui valide ou pas le fait que le prouveur connaît effectivement le secret.
Autorisation
processus durant lequel on donne à l'utilisateur des permissions sur des ressources
Least Privilege: donner le min d’accès necessaire
segregation of duties: certain droit d'accès sont mutuellement exclusifs
Accounting et Audit
enregistrer et proteger les evenements d'authentification ainsi que leurs informations de contextes (date serveur etc.) afin de détecter les accès frauduleux
gestion des identités
toutes les personnes ayant un contact (temporaire ou non) avec l'entreprise est une identité
le but
donner les bons accès
gérer la confidentialité, intégrité, disponibilité
access management
objectif
Définir une représentation standard des accès et des permissions sur les ressources
RBAC
une identité correspond à un profil/rôle
chaque profil est associé à un groupe de permissions
un groupe est un ensemble de permissions sur des ressources
les rôles/profils sont définis au niveau des unités organisationnelles (services ou départements)
RBAC use cases
Assigner un profil à un utilisateur/identité.
Assigner un groupe à un profil
Ajouter ou retirer un profil
Ajouter ou retirer un groupe
Changer les permissions d’un groupe
Ajouter ou retirer une identité
Vérifier les accès sur un système/application
les challenges du RBAC
time consuming
high skills required
demande de changer les processus de gestion de accès
demande du savoir, documentation et communication
demande des outils specifiques
Classification des données
Principes de classification de données
La donnée contient un Label indiquant sa classe
Toutes les données de l'entreprise doivent etre classées
L'entreprise doit définir des classes de données
L'entreprise doit assurer que les données sont classées correctement
Classification de données diffère d'une entreprise à l'autre
La classification de données doit etre validée par le Comité de directeur
Les données sensibles
Elles sont designées par la loi et les reglements
GDPR = Les données à caractère personnel
Les données commercialement sensibles
Données qui sont sensibles pour l'entreprise /partenaire (clients, fournisseurs)
Toute autre donnée classé comme etant sensible par l'entreprise sans justification
Les horaires de transport d'une entreprise de déménagment
Secteur d'activitées avec un haut niveau de securité
Banques
Entreprises du secteur de l'énergie
Armées et entreprise de securité
Aéronautique et astronautique
Protection de données
Les protection doivent etre décrites dans les politiques de sécurité
C'est une politique de classificationn de données / informations / documents
Interne
Interne
Les données ne sont pas sensibles, mais elles ne doivent pas etre communiquées à l'éxterieur de l'entreprise
Le document peut etre stocké uniquement s'il est crypté
Le responsable de la sécurité doit avoir un registre des documents secrets de l'entreprise
Publique
Les données peuvent etre communiquées à l'éxterieur de l'entreprise
Confidentiel
Données sont sensibles et ne peuvent pas etre communiques en dehors du departement qui les utilise
Le document peut etre partagé dans l'entreprise
Secret
Données très sensibles
Le document peut etre partagé dans le département
Les accès aux docuemnts doivent etre tarcés
Propriété des documents
le propriétaire du document doit classer son document , Il determine si le doc est Secret / Confidentiel / Interne / Public
Tous les documents de l'entreprise doivent avoir un propriétaire
Security Controls
C'est un controle de sécurité qui permet d'appliquer le niveau de securité
Controle de securité organisationnel
Designer une personne responsable pour analyser les tentatives d'attaque
Mettre en place des indicateurs de sécurité et les analyser regulièrement
Mettre en place une procédure de gestion des incidents de sécurité
Controle de sécurité technique
Antivirus
Firewall
Processus de gestion de la classification
Creation d'un document classé
Modification d'un document classé
Changement de classe d'un document
Divulgation d'un document classé
Réponse aux incidents sur la confidentialité
Risk Management
exemple de risques pour l'entreprise
société de transport routier
Risques opérationnels: les véhicules sont volés ou vandalisés
Risques industriels: les matières transportées sont dangereuses
Risques humains: les chauffeurs sont victimes d’accidents
Boulangerie industrielle
Risques opérationnels: contamination des produits
Risques financiers: augmentation des prix des matières premières
Risques commerciaux: la concurrence des grandes surfaces
banque
Risques de transactions financières frauduleuses
Vol d’information concernant les clients et les données de comptes bancaires
énergie
risque sur les opérations essentielles
Risques opérationnels sur le contrôle et le pilotage de la production d’électricité
dispositif de gestion des risques
responsabilité
qui porte la responsabilité des risques
qui décide des plans d'actions
organisation
qui est le responsable des analyses de risques, des conséquences des risques, etc.
méthodologie
comment identifier/évaluer les risques, quels méthodologie utiliser
approches et analyse de risque
approches quantitative
conséquences financières
évaluation monétaire des risques
abréviations
asset value (AV)
exposure factor(EF)
single loss expectancy(SLE)
SLE=AV * EF
Annualised rate or occurence(ARO)
annualised loss expactancy(ALE)
ALE=SLE * ARO
cyber assurances
approche qualitative
impacts sur les qualités de l'entreprise
réputation, confiance, image
les étapes
évaluer les risques
identifier les risques
recommandations et contremesures(éviter, accepter, mitiger, transférer)
IMPORTANNNNNT
Mitigation des risques
réduire les risques avec des mesures de protection, des security controls etc.
transferer les risques
réduire les risques en les faisant porter par une autre personnes
prendre une assurance
accepter les risques résiduels
malgrés les transferts et la mitigation, certain niveau de risques doivent être accepter
refuser un risquer
si malgrés tout ca le risque reste trés important, arreter alors les activités liées à ces risques, faire autrement
plan d'action et suivi (projets, budgets, priorités)
revoir régulièrement les risques
mesures de protection
établir une baseline, des mesures de base
décider d'une approche tactique de réponse au risques
Réactive: agir après que le risque ai survenu
proactive: agir en prévision d'un risque POSSIBLE
préventive:agir en prévision d'un risque CERTAIN
dissuasive: agir pour éviter que les conditions de matérialisation du risque ne se produisent
détecter, évaluer, gérer les situations quand les risques se réalisent
Décider des contremesures adéquates pour gérer les risques.
Faire un plan d’action pour suivre le déploiement des contremesures et leur efficacité.
gestion des crises
l'entreprise décide passer en état de crise et décide d'y mettre fin selon un même groupe de personnes
il doit y avoir un manager de crise pour la gerer
à la fin de la crise, faire un rapport et établir des règles pour mieux agir si sa revenais
gestion des incidents et problèmes
un problème est un dysfonctionnement qui peut provoquer un incident
les incidents peuvent mener à une crise
il faut gérer les incidents avant qu'il ne se produisent
