Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI...

Approches pour l’élaboration de documents PSSI

Niveaux de maturitéExtraits de méthode du DCSSI utilisée pour établir les tableaux de bord

de la SSI

• Evaluer le niveau de maturité SSI adéquat que devrait avoir votre SI,

• Idem pour le niveau effectifs (le réel)• La différence indique

– le chemin à parcourir le plan d’action nécessaire• De plus les deux évaluations servent à remplir les tableaux de bord

d’année en année.

Principes

Niveau de menace

Niveau de vulnérabilités du système d'information

0 1 2 3

Niveau d'attractivité

0 0 0 1 2

1 0 1 2 2

2 1 2 2 3

3 2 2 3 3

Le niveau de vulnérabilité est déterminé par les questions de 7 à 9

Le niveau d’attractivité par les questions de 5 à 6

Détermination du niveau de menace

Niveau de maturité SSI adéquat

Niveau de menaces

0 1 2 3

Niveau d'adhérence

0 0 1 2 3

1 1 2 3 4

2 2 3 4 5

3 3 4 5 5

4 question pour déterminer le niveau d’adhérenceNiveau = valeur maximale des réponses.

5 questions pour le niveau de menaces (questions 5 à 9)

0 1 2 3 4 5

Niveau de maturité SSI

Politique de sécuritéOrganisation de la sécurité

Gestion des risques SSISécurité et cycle de vie

Assurance et certificationAspects humains

Planification de la continuité des activitésGestion des incidents

Sensibilisation et formationExploitation

Aspects physiques et environnementIdentification / authentification

Contrôle d'accès logiqueJournalisation

Infrastructures de gestion de clés cryptographiquesSignaux compromettants

Du niveau de maturité SSI effectif au niveau adéquat

Niveau de maturité SSI effectif Effort à fournirNiveau de maturité

SSI adéquat

0 1 2 3 4 5

Niveau de maturité SSI

Politique de sécuritéOrganisation de la sécurité

Gestion des risques SSISécurité et cycle de vie

Assurance et certificationAspects humains

Planification de la continuité des activitésGestion des incidents

Sensibilisation et formationExploitation

Aspects physiques et environnementIdentification / authentification

Contrôle d'accès logiqueJournalisation

Infrastructures de gestion de clés cryptographiquesSignaux compromettants

Du niveau de maturité SSI effectif au niveau adéquat

Niveau de maturité SSI effectif Effort à fournirNiveau de maturité

SSI adéquat

Gestion des risques de SSI(management du risque)

Le risque de SSI est la combinaison d’une menace (cause potentielle d’un incident indésirable)

scénario avec une certaine vraisemblance (un degré d’incertitude)Méthode d’attaque (action ou évènement accidentel, délibéré)

Éléments menaçants (naturels, humains) susceptible de l’utliser

Vulnérabilité des entités (matériels, logiciels, organisations, personnes, …)

(faiblesse d’un bien, groupe de biens)

et des pertes qu’elle peut engendrerestimées en termes d’atteinte des besoins de sécurité des éléments essentiels

et des impacts induits sur l’organisme

Menaces :• sources potentielles de problèmes)

Vulnérabilité : • faiblesse pouvant être « exploitée »• de ce fait la menace devient plus concrète

On doit faire le nécessaire afin debien les connaître.Mais on ne peut pas grand-chose la plupart du temps.

SSI = supprimer les vulnérabilités ou en empêcher leur exploitation éventuelle (diminuer les probabilités) sinon se préparer aux conséquences (réaction en cas d’incident)

Diminution du risque, et si trop coûteux parrapport aux dommages éventuels Accepter le risque résiduel, et être prêt à y faire face.

Communication relativeau risque

L’appréciation du risque (procéder régulièrement à l’appréciation du risque)

TraitementRefus du risqueOptimisation du risqueTransfert du risquePrise de risque

Acceptationhomologation

AppréciationAnalyse du risqueÉvaluation du risque

Décrire le contexteOrganismeSystèmes d’Information (SI)Éléments essentiels à protéger (+) (informations, fonctions, …)Entités sur lesquels ils reposentLes enjeux liés à la SSILes contraintes à prendre en compte

Exprimer les besoins de sécurité (*) pour (+)Disponibilité, Intégrité, Confidentialité

Identifier les menaces et les caractériseren terme d’opportunité (degré d’incertitude)

Confronter les menaces aux besoins deSécurité (*) pour déterminer les riques.


Traitement du risque




Sélection et mise en œuvre des mesures visant un refus, une optimisation, un transfert ou une prise de risque

1) Identifier les objectifs de sécuritédéterminer le mode de traitement(refus, …)On tient compte du contexteOn ne parle pas encore de solutions

2) Déterminer les exigences de sécuritéPour satisfaire les objectifs ci-dessusDécrire la manière de traiter le risque

Dissuasion, protection, détection,Récupération, restauration, Compensation, …

3) Spécification et mise en œuvre des mesures de sécurité visant à modifier le risque.

A ce stade les risques ont été soitréduits soit transférés (à des tiers)soit subsistent (le résiduel).


Acceptation du risqueCas particuler du « risque résiduel »




Décision d’accepter les risques traités.

Une homologation de sécurité prononcéepar une autorité présidant une commission d’homologation.

Un dossier de sécurité en « soutien » contenant : études des risques, objectifs de sécurité, exigences de sécurité et la politiquede sécurité.

Démarches possibles pour une PSSI

1. Une basée sur l’utilisation des meilleures pratiques• Guides de configuration, checklists, recommandations, …

2. Une basée sur l’analyse des risques, sans méthode particulière• Travail basé sur l’expérience des acteurs.

3. Une basée sur la gestion structurée des risques • Une démarche méthodologique style EBIOS http://www.ssi.gouv.fr/fr/confiance/methodes.html

Attention le coût n’est pas le même!Il faut choisir une méthode adaptée à votre contexte et

au niveau de maturité de la SSI dans votre entité.(existant ou souhaité)

EBIOSExpression de Besoins et Identification des

Objectifs de Sécurité

http://www.ssi.gouv.fr/fr/confiance/[email protected]@sgdn.pm.gouv.fr

EBIOS va permettre de bâtir ou finaliser des documents :Schémas Directeur SSI, PSSI, plans d’actions, documents stratégiques, …

EBIOS est une méthode de gestion du risqueDiffusée gratuitement par la DCSSI

EBIOS

• EBIOS = 5 grandes étapes :– Étude du contexte auquel doit s’appliquer l’étude– Expression des besoins de sécurité,

• analyse de la sensibilité des données (D,I,C) niveau de protection requis

– Étude des menaces, des vulnérabilités• des risques d’occurrence de l’exploitation de ces vulnérabilités,

– Identification des objectifs de sécurité, • Refus du risque, optimisation, transfert ou prise de risque?• Enjeux stratégique de l’entité objectifs de sécurité,

– Détermination des exigences de sécurité. • vers le plan d’action : principes, règles, outils, organisation, …• Dissuasion, protection, détection, récupération, restauration,

compensation,…

EBIOS

• EBIOS: très formel, très précis, mais lourd.

• L’appliquer à certaines parties du SI seulement ou appliquer seulement certaines étapes :

• Ex: – Une partie analyse de la sensibilité des données du

niveau actuel de leur sécurité, du niveau cible, …– Une évaluation des menaces « réalistes »,– Etc.

EBIOS : étape « expression des besoins de sécurité »

• L’analyse de la sensibilité des données est le volet important de cette étape,

• Cette analyse s’appuie sur des critères:– attributs qui vont servir de base à l’évaluation

du niveau de sécurité réel (actuel) et à déterminer celui souhaité.

– Ils représentent les qualités que l’on attend du fonctionnement du SI.

Disponibilité (fiabilité)• garantie d’accès quand on le demande (si « autorisé »)

• comportements réguliers, continus, prédictibles,

• assurer une qualité de service (perçue de l’utilisateur)– performance garantie, (temps de réponses, bande passante, …).

• Redondance de serveurs, d’infrastructures réseau, …• contrats de maintenance solides,• présence continue d’équipes,• énergie secourue,• sauvegardes régulières, stratégie de reprise en cas d’incident,• logiciels validés, …

Pour élever le niveau de disponibilité

Intégrité • Propriété d’exactitude et de complétude des informations et

des fonctions.– Absence de résultats incorrects ou incomplets (pour une fonction)

– pas d’altération des informations par des personnes non autorisées,

– conservation des données sans dégradation dans le temps,

– échange de données via le réseau sans altération,

Pour élever le niveau d’intégrité

• garantir la robustesse des contrôles d’accès et de l’authentification• veiller à la qualité des sauvegardes et des archivages• chiffrer les flux réseaux, • utilisation de logiciels « validés ».

Confidentialité (principalement des informations)

• Propriété de n’être accessible qu’aux personnes autorisées

• Les données ne doivent pas être lues par des personnes ou des processus non autorisés.

• authentification forte,

• protection des fichiers (discrétionnaire),

• chiffrement éventuel des fichiers (sur portable notamment).

• protection des flux réseau (chiffrement)

• que seules les personnes habilitées manipulent les supports de sauvegarde.

Pour élever le niveau de confidentialité

Attributs complémentaires (non EBIOS)

– Comptabilité, traçabilité, … • Capacité à retrouver l’identité et la liste des actions d’un

fauteur de troubleidentification et authentification sérieuses des intervenants,

Historique, journalisation des actions.

– Non répudiation• Capacité à apporter les preuves de l’origine et du contenu

d’une action un traitement « signé »,signature de documents (stockés ou échangés) éventuellement existence de « tiers de confiance »

Échelle de besoins

0Perte de confidentialité

Sans conséquence

Délai supérieur à 1 semaine

Sans conséquence.

Services non indispensables

Perte d’intégrité sans conséquence pour l’entité.

Vérification avant redémarrage

simplement

1Conséquences défavorables

Aux intérêts de l’entité.

Cause de gêne.

Mais alternative existe.

Dégradation du service

Conséquences défavorables aux intérêts. Diminution des capacités.

Image de marque.

2Conséquences dommageables.

Ex: contrats remis en cause

Délai > 2h et <=8h

Conséquence dommageable

Mais non vitale

Conséquences dommageables pour les intérêts de l’entité.

Sanctions administratives,

Pertes financières

3Conséquences graves

Ex: secrets défense.

Délais entre 0 et <= 2h

mise en péril de:– vies humaines–Existence société

Conséquences gravesRévocation de dirigeants,

Pertes financières

Restructuration, …

confidentialité disponibilité intégrité

Pour chaque domaine « métier »une évaluation des besoins de sécurité

G.F.C 2 2 3 3

Communication 0 2 2 2

Contrats 2 2 2 2

GRH

Info. nominative3 1 3 3

Recherche et

Dév. Technolog.3 1 3 3

Pédagogie (contenus)

1 2 2 2

domaine Conf. Dispo Intég.Niveau global

Identification des origines de menaces(méthodes d’attaque à retenir)

EBIOS explicite toute une panoplie de menaces dont il faut retenir que celles pertinentes pour

l’entité menant l’étude.

• Sinistres physiques– Incendie, dégâts des eaux, – pollution, sinistre majeur,– Destruction de supports ou de matériels

• phénomènes naturels– Phénomène climatique, – ‘’ sismique, – ‘’ volcanique, – ‘’ météorologique, – Crue

• Pertes de services essentiels– Défaillance climatisation, – Perte d’alimentation énergétique– Perte de moyens de télécommunication

• Perturbation due aux rayonnements– Rayonnements électromagnétiques– Rayonnements thermiques– Impulsions électromagnétiques

• Compromission des informations– Interceptions de signaux parasites compromettants– Espionnage à distance – écoute passive (Récupération d’information d’authentification par ex.)

– Vols: supports, matériels, documents, – Récupération d’éléments recyclés ou mis au rebus– Divulgation

• Inconsciemment (dans le TGV), en séminaire, …• Volontairement (intérêts particuliers)

– Information sans garantie d’origine• Installation de logiciel sans preuve de l’exacte origine et du sérieux• Canulars, phishing, …

– Piègeage du logiciel ou du matériel– Géolocalisation

• Actions illicites – Utilisation illicite de matériel (site « warez », …)

– Copie frauduleuse de logiciels

– Utilisation de logiciels contrefaits ou copiés

– Altération de données (action de piratage, via vers, virus, …)• Usurpation de droits (pirates, concurrents, …)

– Traitement illicite de données

• Défaillances techniques– Panne, dysfonctionnement matériel

• Saturation des systèmes informatiques

• Maintenance négligée

– Dysfonctionnement logiciel– Atteinte à la maintenabilité du SI (absence documentation, …)

• Actions illicites– Utilisation illicite de matériels

– Copie frauduleuse de logiciels

– Utilisation de logiciels contrefaits ou copiés

– Altération de données

– Traitement illicite de données

• Compromission des fonctions (facteurs humains) – Erreur d’utilisation (sauvegarde, configurations, …)

– Abus de droit (modification sans avertir, …)

– Usurpation de droits

– Reniement d’actions

– Atteinte à la disponibilité du personnel (personnels indispensables)

– …

Quelles sont les vulnérabilités qui peuventfaire que ces menaces puissent être mises

à exécution?

Ebios classe les vulnérabilités par domaines•Matériels•Logiciels•Réseau•Personnel•Physique (Site)•Organisation •Système

Voir page 34 de la section 4 du guide EBIOS

Matériels– Absence de responsabilité– Pas de politique:

• d’achat, de maintenance, de remplacement, …• d’installation, de configuration, d’administration, …• de contrôle d’accès et de protection des fichiers (données)• de gestion des authentifications et des mots de passe particulièrement • de gestion des autorisations (privilèges octroyés trop importants)• de protection des informations sensibles (accès, chiffrement, …)

– Matériels dont les spécificités ne sont pas pris en compte• Absence de règles concernant les matériels ‘trans’portables

– Condition liées au placement physique non pris en compte• Phénomènes naturels non pris en compte• accès physiques non contrôlés (salles machines, bureaux, …)

– absence de sauvegardes, archivage et de protection des supports– Pas de prise en compte des conditions d’utilisation– pas de protection contre l’écoute TEMPEST

Logiciels– Absence de politique concernant:

• la gestion des mots de passe, le contrôle des accès, la gestion des privilèges• le contrôle de la protection des données, notamment leur intégrité

– Lacunes concernant la qualité et l’intégrité des logiciels :• ajout de logiciels d’écoute, cheval de Troie, fonction cachée en phase de développement• récupération de logiciels depuis source non authentifiée• Logiciels non évalués, développés uniquement en interne,

– Conditions d’utilisation du logiciel • Conditions aux limites non prise en compte (matériel inadéquat, …)• Pas de conservation des traces de traitement, pas de remontées des traces de dysfonctionnement,• pas de procédure de maintenance,• Documentation inexistante ou pas à jour,

– Côté utilisateur• Absence de formation à l’utilisation du logiciel, utilisation complexe non intuitive,• Insuffisance de compétence,

– Par rapport au système• Administration à distance avec des outils non chiffrés• Absence de mise en œuvre des règles élémentaires de sécurité de base• Système « grand public » aux bugs connues et déjà exploitées• Possibilité d’utilisation du système par des personnes non autorisées• Plusieurs systèmes amorçables (Windows, Linux)• Système pouvant être soumis à des requêtes mal formatées (buffer overflow),

réseau– Protection physique, qualité équipements

• Conditions (humidité, température, rayonnements, …) pas pris en compte,• Sensibilité aux chutes de tension, micro-coupure, • Mauvais dimensionnement, matériels obsolètes, …

– Réseau « ouvert » :• possibilité de pose d’éléments « pirates » (ex: keylogger physique), dérivation de circuit,• Support et équipements accessibles à des personnes non autorisées,• Présence de points d’écoute illicites• Émission de rayonnements parasites compromettants• Écoute passive possible sur médium le permettant (Ethernet non commuté, WiFi, …)• Absence de cloisonnement réseau (filtrage, journalisation)• Possibilité d’altérer une communication• Absence de contrôle d’accès robuste, présence de protocoles sans fonction d’authentification.• Les relais n’identifient ni les sources ni les destinations (spoofing possible)

– Défaut de supervision, maintenance, …• Absence de maintenance locale ou à distance• Absence de politique de traces, d’audit, de métrologie• Pas de politique visant à détecter les comportements suspects (détection d’intrusion, …)

Personnel– Défaut en grande partie du à la direction concernant :

• Une organisation inadaptée, chaîne de responsabilité non identifiable,• Méconnaissance de la PSSI, ou absence de soutien à l’application de la PSSI, • La classification des informations, les droits accordés en dehors du besoin légitime• Le trop de responsabilité/charges de certaines personnes• Climat social conflictuel, règles morales et d’éthique absentes, conditions de travail,• Indisponibilité (absentéisme, …)• Absence de procédure de transfert de compétence• Absence de sensibilisation, formation: chartes, règles de protection de l’information, …• Pas de stratégie de réaction en cas de sinistre majeur, pas de plan de reprise/continuité d’activité

– Responsabilité des personnes• Non respect des diverses consignes, des règles en général, du devoir de réserve, de la discrétion, • Absence de vigilance, négligence, manque de professionnalisme • Utilisation de logiciels sans garantie de leur origine, • Pas de mise à jour des logiciels anti-virus, pare-feu, anti-malware, ...• Personne manipulable, crédule : obtention d’avantage contre action malveillante

– Relatif aux infrastructures et services• Choix technologique dépassé ou non pérenne, dimensionnement limite, • Absence de suivi des incidents, • Absence de procédure de gestion des situations d’urgence • Pas de procédure de réaction et d’information en cas de sinistre

Physique: site(s), locaux– Lieux

• Pas de prise en compte des rayonnements, pas de zonage TEMPEST, …• Zone inondable, proximité sources de pollution ou d’activité industrielle ou site à risque• Phénomène extrême météorologique possible• Possibilité de capter les transmissions ou d’observer depuis l’extérieur du site

– Contrôle des accès:• Pas de contrôle des accès au site ou aux locaux, (accès indirects existants), présence

d’ouvertures sur la voie publique• Absence de contrôle des échanges avec l’extérieur, • Pas de journalisation des entrèes/sorties de personnes, …• Pas de contrôle des habilitations, contrôle d’identité, • Pas de protection des accès aux équipements

– Locaux• Vieillissement, non étanchéité, risque d’explosion possible, • Construction sans prise en compte des conditions climatiques, sismique, ..

– Règles non prise en compte pour :• la climatisation, • l’incendie, • l’énergie, • les télécommunications

Organisation– Absence de PSSI (directives, consignes, procédures, règles, …)

• pas d’implication de la direction,

• déficit d’organisation de la chaîne de responsabilité

– Absence d’identification et de contrôle des biens sensibles

– absence de sensibilisation, formation, veille technologique• Pas de chartes, pas de formation minimum aux aspects juridiques, …

• Pas de suivi de l’évolution des menaces et solutions de protection

• Manque d’information sur les aspects légaux et règlementaires,

– pas de stratégie (plan de reprise) en cas d ’incident majeur

– Absence de règles de protection des données et de l’infrastructure

– Pas de politique des gestion des habilitations

• Les systèmes et services (1) :– Echanges vers/depuis d’autres systèmes

• Circulation en « clair » des échanges, ouverture trop grande sur l’extérieur, • Le système permet la divulgation d’information sensible vers l’extérieur,• Absence de dispositif de filtrage, absence de contrôle anti-virus, anti-malware, …• Possibilité de traiter des fonctions asynchrones du système (composants javascript)• Possibilité d’introduire des logiciels hostiles (virus, vers, cheval de Troie, bombe

logique, …)• Absence de contrôle des contenus échangés• Absence de gestion du contrôle des accès (habilitation, audit, supervision, … )

– Partie système• Obsolescence du système, systèmes non standards, • Règles d’installation non suivies, le système permet un usage autre que celui prévu,

extension de fonctions possible• Possibilité de copier facilement des logiciels

– Installation, configuration, administration, supervision• Absence de suivi des procédures d’installation et de maintenance (correctifs, …)• Pas de vérification de l’origine des applicatifs,• Possibilité d’administrer à distance avec des outils non chiffrés, • Pas d’outils de supervision• Absence de mise en œuvre des règles de base applicables au système d’exploitation• etc.

• Les systèmes et services (2):– Traces, audit

• Absence de politique d’audit, de journalisation des évènements ou accès • Pas de conservation/archivage de l’historique

– Utilisateur/administrateur• Absence de responsabilité identifiée• Insuffisance de compétence• Manque de support/formation• Absence de sensibilisation aux risques induits par le téléchargement de logiciels

– Messagerie• Le système permet le relayage, peut être administré à distance, • Version obsolète des logiciels• Absence de protection anti-virus, anti-spam, • Pas d’authentification des émetteurs ni des destinataires• Le serveur permet l’émission automatique de messages• Absence de limitation de la taille des pièces jointes

– Intranet• Pas de cloisonnement des réseaux de communication, • Absence ou difficulté à gérer les privilèges d’accès aux informations partagées• Le système permet le stockage ou la modification d’information sans authentification• Présence de dispositif permettant de modifier ou installer des applications à distance• Le dispositif permet d’introduire des logiciels hostiles

– Portail externe• Accès public au portail, pas d’identification des requêtes• Pas de conservation de l’historique des activités• Possibilité d’implanter des programmes pirates

Matériel et système (compléments): – Non fermeture systématique de session après un temps d’inactivité,

– Pas de protection contre l’écoute Tempest (pour poste classifiés)

– Poste à la vue de tous (trains, avions, conférences, …)

– Non surveillance des portables ou de supports (Vol)

– Maintenances (télémaintenances) non contrôlées,

– Amorçable par quiconque via disquette, CD-ROM, …

– Absence de sauvegardes

– Pas de politique de contrôle des contenus importés

– Pas de configuration « restrictive » du système:• Cloisonnement vis-à-vis extérieur (pare-feu, …), limitation services actifs

• Trop de logiciels installés sans preuve de besoins réels,

• Comptes « privilégiés » trop largement octroyés

Manque de réactivité pour l’application des correctifs de failles (patch de sécurité)

Des raisons (pas toujours des excuses)

• Manque de moyens (humains surtout)

• Méconnaissance – de la valeur des informations et de la valeur du patrimoine,

– des menaces réelles et des conséquences potentielles.

la sensibilisation pas encore « arrivée »

• Un « laxisme » involontaire à semi volontaire,Ça n’arrive qu’aux autres.

• On ne retient que : « la sécurité ça coûte cher »

• Provenance « interne » ou locale 70% environ– Origine humaine (intentionnelle)

• Ancien personnel : (vengeance, but lucratif, …),

• Stagiaire (espionnage, intérêt personnel, …),

• Télémaintenance, prestataire (intérêt de la concurrence, …)• Personnes en place : esprit ludique, découverte, blocage, …

– Origine accidentelle (non intentionnelle, laxisme)• Erreurs de configuration, de surveillance, • Évènements naturels: incendie, inondation.

• Provenance externe 20 à 30%– 6 « malintentionnés » pour 10 000 (chiffres de 1998)

– Objectifs multiples: • Plaisanter, perturber, abuser, casser l’image de marque, faire chanter, …• Voler, frauder, …• Espionner (économie, militaire,…)• Crime organisé, terrorisme, sabotage, déstabilisation, désinformation, …

Origine des actes de malveillance, des erreurs, des accidents

Exemple d’exploitation de vulnérabilitésde niveau « informatique »

Suivant le but poursuivi par « l’acteur »de ces « attaques » les conséquences pourront

être plus ou moins graves.

Exemples de scénarii (1)

• Ecoute de trames sur le réseau (Ethernet)

– tout PC (poste individuel) peut le faire!– Recherche «séquence login » --> mot de passe– exploitation du compte– rebonds– constitution base de données des mots de passe

pour utilisation ultérieure – PLUS GRAVE si mots de passe « super-utilisateur »

– Noter que les mots de passe « volés » peuvent appartenir à des utilisateurs d ’une autre entreprise, université, etc

===>attaque site distant

• Récupération des fichiers /etc/passwd– Puis essai de craquer les mots de passe cryptés avec dictionnaires,

– Il suffit ensuite de se connecter avec les bonnes infos.

– Une fois sur la machine en tant qu’utilisateur normal• Prendre son temps pour « explorer » le système entier et donc

• Tenter de trouver les « bogues » permettant de passer super-utilisateur.

• Installer ce qu-il faut en « cheval de Troie » pour y revenir tranquillement.

Même si l’on peut caser ceci dans les exemples dupassé, il faut cependant être très vigilant.



• Recherche machines avec « bogues »– toute machine sur Internet peut le tenter

• Scan des machines ayant des ports ouverts,

• Repérage du type de système, version, etc,

• Puis détection des services en exploitation

• De leur niveau de patch des « bogues » possibles.

– passage « super-utilisateur »– modification des commandes système ou

installation de commandes cachées (« bombes logiques ») pour revenir plus tard


• Cheval de Troie– logiciel « domaine public » avec cheval de Troie– piratage d ’un serveur FTP connu (simple défaut de

protection des fichiers suffit)

– dépose de ce logiciel sur ce serveur en échange d ’un logiciel classique

– tout site récupérant ce logiciel est potentiellement en danger

Nécessité de vérifier les empreintes des logiciels.


• Messagerie– SPAM (mascarade d ’adresse phishing)

– exploitation de « bogues » des produits « sendmail », « PosFix » ou « OutLook », …

• Déni de service– « fausses » connexions à rythme très rapide sur un port

donné (service classique) d ’un serveur

– le serveur ne répond plus pour les vrais utilisateurs

• Plantage à distance– exploitation de « bogues » (noyau du système)


• Mascarade d ’adresse IP « IP spoofing »• « Pollution » d ’un serveur FTP

– répertoire à accès public

– --> échange de logiciel/produits piratés

– serveur FTP cible de sites « warez »

• « defacing » de sites web– Souvent du aux failles des programmes PHP

– Également aux failles (de moins en moins) de IE-Microsoft

• Etc.


• Plus propice au monde Windows– Virus– Exploitation des failles des macros Word,Excel, …– Exploitation failles IE – Installation de SPYWARE et de MALWARE

Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI...

Documents

Transcript of Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI...