Sécurité des Systèmes d`Information en milieu bancaire

Transcription

Sécurité des Systèmes
d'Information en milieu bancaire
Séminaire sur la sécurité informatique en milieu bancaire
AlBM CFAO Technologies
Alger, 25 mai 2005
Hervé Schauer
<[email protected]>
Hervé Schauer Consultants
Société de conseil en sécurité informatique depuis 1989
Prestations intellectuelles d'expertise en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation
de personnel
Conseils, études, audits, tests d'intrusion, formations
Domaines d'expertise
Sécurité Windows / Unix et linux / embarqué
Sécurité des applications
Sécurité des réseaux : TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, ...
Organisation de la sécurité
Clients :  Opérateurs telecom,  Banques ,  Secteur public
Certifications : CISSP, BSI BS7799 Lead Auditor, IRCA, ProCSSI
2 / 51
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Plan
Enjeux et contexte
Périmètre
Problèmes et attaques
Pourquoi les firewalls ?
Cadre légal et normatif
Pourquoi le périmètre ?
Virus et vers
Infrastructure
En quoi consiste le contrôle
d'accès ?
HTTP/HTTPS
SPAM
Attaques web : XSS, phishing
Applications
Les transparents seront
disponibles auprès de AlBM et
sur internet : www.hsc.fr
3 / 51
En quoi consiste le périmètre ?
Télémaintenances
Mobilité et nomadisme
Voix sur IP
Conclusion
Ressources et remerciements
Enjeux en sécurité bancaire
Repect du cadre légal
Image de marque vis-à-vis du public
Continuité du service
Lutte contre la fraude
Intégration de la sécurité dès l'origine des projets
Mise en réseau
Services en ligne
Gestion de la sécurité au quotidien
Lutte contre les vers et virus
Déploiement des correctifs de sécurité
4 / 51
Contexte
Contexte économique souvent difficile
La direction des systèmes d'information doit
Gérer le quotidien et accroître la productivité interne
Supporter une foule d'anciennes applications et intégrer des
applications nouvelles
Ouvrir le système d'information sur l'extérieur sans nuire à celui-ci en
interne
Répondre aux exigences des métiers en matière de nouvelles
technologies et d'hétérogénéité et développer la cohérence du parc
informatique
Se justifier économiquement
Réduire les coûts, calculer des ROI, se transformer en centre de
service, ...
 La sécurité n'est pas toujours une priorité
5 / 51
Problèmes et attaques
Problématique des vers et virus
Fragilité des infrastructures
Pourriel / SPAM
Attaques web
Exécution croisée de code
Hameçonnage
Maîtrise du périmètre du système d'information
Téléphonie sur IP
Télémaintenances
6 / 51
Autres problèmes en sécurité
Dénis de services et chantages aux dénis de service
Maîtrise des réseaux sans fil
Contrôle des postes de travail
Gestion des identités :
Identification, autorisation, authentification
Journalisation et tableaux de bords en sécurité
Intégration des ordinateurs nomades et assistants personnels
...
7 / 51
Respect du cadre légal et règlementaire
Implications de Bâle II pour la sécurité informatique
PCA : Plan de Continuité d'Activité
Protection des données servant aux calculs règlementaires
Cloisonnement des applications manipulant ces données
Contrôles dans les transmissions : chiffrement lors des transferts et
authentification des parties
Journalisation des incidents de sécurité
Sécurité dans les communication aux tiers (Commission Bancaire, CAC, ...)
Constitution d'une base d'incidents
Consolidation de la journalisation à la fois :
Technique
Fonctionelle
8 / 51
Cadre normatif
Normes ISO17799 et ISO27001 (BS7799-2)
Construction d'un Système de Management de la Sécurité
Permet un passage de la tradition orale à la tradition écrite
Permet d'aboutir à la certification de l'établissement ou d'un sousensemble
Reconnaissance internationale
Facilite toutes les autres certifications ou règlementation
Sarbanes-Oxley
Monétique
...
9 / 51
Virus et vers : constat
Les principaux logiciels comportent un grand nombre de failles
Les vers les exploitent et montrent les limites des infrastructures
Slammer
Serveurs MS-SQL
Duplication rapide par diffusion
Sobig
Envoi de messages en masse par un logiciel de messagerie
Intérêt financier : le SPAM
Santy (décembre 2004)
Utilisation automatique de Google pour rechercher les serveurs web
vulnérables
Les vers s'attaquent plutôt aux logiciels très répandus
10 / 51
Exemple de Blaster
Lancé le 11 août 2003
Utilise une faille dans une partie ancienne de Windows dont le
correctif a été publié un mois avant (16 juillet 2003)
Se réplique par des ports de communication normalement
fermés par les firewalls
Est volontairement très lent, environ 2000 ordinateurs par
heure
Ciblait à terme un déni de service que un serveur :
www.windowsupdate.com qui a pu être facilement évité
A provoqué la mise à jour de la majorité des postes de travail
W2K & WXP
11 / 51
Exemple de Blaster
S'est dupliqué sur des réseaux non connectés à l'Internet ou
protégés de l'Internet via les postes nomades
Premier ver mettant clairement en avant ce type de risque
Perte de temps par les équipes bureautique et sécurité
A pris les utilisateurs durant les vacances
12 / 51
Exemple de Blaster
Un des éléments de la cascade de pannes dans la coupure
électrique aux USA ?
A permis d'éviter un incident beaucoup plus dramatique
A permis à plusieurs équipes de se pencher sur la partie de
Windows incriminée et d'en découvrir de nombreuses autres
failles similaires
De nouveaux correctifs ont été publiés en conséquence
A qui a profité Blaster ?
13 / 51
Virus et vers : état des lieux
Très peu de vers sont développés par rapport aux possibilités
Beaucoup de failles logiciel dans les logiciels très répandus
Une population de plus en plus large capable d'exploiter les failles
Pas ou peu de vers exploitent les nouveaux vecteurs de
propagation :
Systèmes de messagerie instantanée
Logiciels poste à poste (peer-to-peer)
Assistants personnels
Téléphones portables
Pas ou peu de vers s'attaquant à une cible précise comme un
ensemble d'organismes
Quel support des éditeurs d'anti-virus si un seul organisme visé ?
14 / 51
Virus et vers : perspectives
Protéger son infrastructure sur un périmètre vis-à-vis de
l'extérieur avec un filtrage IP adéquat
Déployer de l'anti-virus pour cloisonner son réseau
Utiliser une mise à jour automatique des signatures
Gérer la sécurité des postes nomades
Equiper chaque poste d'un système de sécurité complet
Prévoir la gestion de mise à jour de l'anti-virus
Faire un contrôle d'intégrité avant la connexion au réseau de votre organisme
Mettre en quarantaine les systèmes compromis
Préparer des procédures de sécurité et d'alerte en cas d'attaque de vers
Information des utilisateurs par SMS
Cellule de décontamination à l'entrée des batiments avec un CD-ROM
15 / 51
Infrastructures : constat
Socle sur lequel tout repose
Ensemble de matériels et logiciels auxquel il faut faire
confiance
Ordinateurs, routeurs, applications
Fragilité des routeurs : exemple du déni de service sur les
routeurs Cisco
Fragilité des applications qui sont dans les boitiers : exemple
des pannes des opérateurs en France
Perspectives
16 / 51
Exemple du déni de service Cisco (1/3)
L'internet et les réseaux s'entreprise reposent sur des routeurs
Cisco
Déni de service sur tous les équipements Cisco publié le 17
juillet 2003
Envoi de paquets dirigés vers le routeur sur certains protocoles
précisde manière à ce que le paquet s'arrête sur le routeur
Les paquet mis dans la file d'attente n'est alors jamais traité par le
routeur
La file d'attente se remplit après 75 paquets par défaut.
Le routeur n'est plus accessible et ne traite plus les paquets entrants
sur cette interface.
Concerne tous les équipements du plus petit au plus important
Les routeurs personnels comme les commutateurs ou les équipements
au coeur des infrastructures des opérateurs
17 / 51
Exemple du déni de service Cisco (2/3)
Exploitation triviale
Commande hping sur Unix en usurpant l'adresse source ou en
changeant d'adresse à chaque paquet
Cisco a publié une version corrigée de son système pour
chaque plateforme et chaque branche
Les opérateurs de premier niveau ont été prévenus en
avance :
Ils ont pu mettre à jour rapidement leurs équipements
Il y a eu plus de perturbations liées aux mises à jour que pour des
attaques
Certains opérateurs ont mis des filtres
Sur les équipements le supportant, sur les routeurs peu chargés, ou
sur les routeurs d'extrémité, mais beaucoup les ont supprimés depuis
18 / 51
Scénario d'attaque (3/3)
Les routeurs des réseaux d'entreprises n'ont généralement pas
étés mis à jour suite à la publication du problème
Ver style Slammer ou Blaster
Il reste et restera toujours des vulnérabilités non exploitées dans
Windows
Insertion d'un portable contaminé dans le réseau
Recherche des routeurs locaux
Attaques simultanées des routeurs en commençant par les
routeurs les plus éloignés découverts
L'ensemble des réseaux d'entreprises sont inopérants
Relance manuelle de chaque boitier par un administrateur système
Quelques minutes / heures mais quelles cascades ?
19 / 51
Exemples des pannes opérateurs
Passerelle de conversion de téléphonie sur IP en téléphonie
classique
Transformation par la passerelle de numéros de téléphones usurpés
en téléphonie sur IP en numéros internationaux illégaux
Déclanchement d'alarmes sur les centraux téléphoniques et refus de
prise en charge d'appels légitimes
Erreur de conception dans le logiciel de la passerelle : les appels
auraient du être refusés par celle-ci
Equipement d'aiguillage des communications
Blocage après la mise à jour de l'application du boitier
Basculement sur le système en redondance et blocage identique
Erreur dans l'application identique sur les deux systèmes
Pannes applicatives
20 / 51
Infrastructures : perspectives
Envisager et se préparer aux scénarios d'attaques et de panne
Imposer l'évaluation de la sécurité de ses équipements d'infrastructure
A défaut faire auditer leur sécurité par un tiers
Privilégier la diversité dans les équipements réseau
Utiliser des équipement de secours de marque différente que
l'équipement de production
Prévoir un plan de reprise sur la version précédente du logiciel de
l'équipement
Imposer une interopérabilité pour bénéficier d'équipements en
redondance de fournisseurs différents
Ne pas accepter de dépendance auprès d'un seul fournisseur
Ne pas accepter l'inapplicabilité de sa politique de sécurité sur ses
équipements
21 / 51
Pourriel (SPAM)
Constat sans doute inutile
Critères de choix de solutions
Taux de faux-positifs < 0,01%
Taux d'efficacité dans le filtrage
Facilité de gestion des messages bloqués
Facilité d'intégration des spécificités des messages échangés par son
organisme
Penser à l'infogérance du service
Perspectives
Modèles fermés ?
Facturation à l'emetteur ?
...
22 / 51
Attaques web
Exécution croisée de code ou XSS (Cross-Site-Scripting)
Voir la présentation de Thomas Seyrat aux JIP2005 sur www.hsc.fr
Hameçonnage (Phishing)
23 / 51
Hameçonnage (Phishing) : constat
Vol du compte de service de banque en ligne
Objectif classique : détournement de fonds par un virement
Envoi d'un message faisant croire à la victime qu'elle doit se connecter
sur un site de la banque
Le site n'est pas celui de la banque mais celui du pirate
Le pirate récupère les informations d'identification et d'authentification
Il se connecte à la banque à la place de la victime
La banque cible de l'attaque n'est pas directement attaquée
C'est le client de la banque qui est attaqué
Nombreux cas depuis 2004 en France
Avec des messages en français
24 / 51
Hameçonnage (Phishing) : perspectives
Prendre en compte ce risque avant de mettre en place un
service de banque en ligne
Partir du principe que l'ordinateur du client est toujours infecté
de virus, spywares, keyloggers, etc
Sensibilisation des utilisateurs des services de banque en ligne
Authentification de l'utilisateur avec un clavier numérique
aléatoire affiché à l'écran et rempli à la souris
Contrôle de la déclaration des comptes destinataires de
virements
Imposer la connaissance d'un nombre non-devinable qui est sur le
relevé papier
25 / 51
Hameçonnage (Phishing): perspectives

Journalisation fonctionnelle dans les applications
Détection des anomalies et analyse humaine
Connexion sur plusieurs comptes depuis la même plage d'adresse,
virement complet vers un compte externe, ...
Mise en attente des transactions suspectes et appel téléphonique du
chargé de clientèle à l'usager
Aucune raison de réduire l'étendue et la qualité du service
auprès des usagers
Suppression des possibilités de virement, réduction drastique des
montants autorisés
Authentification forte, carte à puce, refus des utilisateurs de Mac et de
Linux
26 / 51
Sécurité dans les applications
Applications dévelopées dans l'entreprise principal maillon faible visà-vis de l'extérieur
Tout application visible de l'extérieur est sur le périmètre du système
d'information
Intégrer la sécurité dans le développement de ses applications
Cahier des charges, formation, audit
Journalisation fonctionnelle
Analyse des entrées et des sorties
Lutte contre les injections de code (SQL, LDAP, etc)
Lutte contre l'exécution croisée de code (Cross-Site-Scripting)
Prévoir des systèmes de sécurité applicatifs
27 / 51
Pourquoi les firewalls ?
Pourquoi avons-nous eu besoin de firewalls ?
Parce que le réseau où tout le monde communique avec tout le monde
a vite atteint ses limites avec Internet : intrusions, code malveillant, etc
Pour faire du contrôle d'accès en entrée de son réseau
Pour appliquer sa politique de sécurité sur ce point d'entrée
Pour ne faire de la sécurité que dans les firewalls en entrée de son
réseau et pas trop ailleurs
Pourquoi ne pouvait-on pas appliquer la sécurité partout ?
IPsec de bout en bout partout ? Car le bout je ne lui fais pas confiance,
c'est le firewall entre les deux que je maîtrise
Compromis et réalisme
28 / 51
Schématiquement il y a :
Un espace dont le directeur est responsable :
Le système d'information (SI) de son organisme
Un espace dont le directeur n'est plus responsable :
Le reste du monde
Entre le système d'information de son organisme et le reste du
monde : le périmètre du SI
Il faut bien distinguer où s'arrête et où commence la
responsabilité
Il faut protéger l'espace sur lequel le directeur est responsable
29 / 51
La politique de sécurité s'applique sur l'ensemble du SI
Cependant :
L'application la plus simple et globale d'une politique de sécurité est
d'abord par du contrôle d'accès dans le réseau
Le contrôle d'accès dans le réseau est efficace et réaliste en étant
appliqué en priorité sur le périmètre
Là où sont et seront les firewalls et là où ils sont poreux et contournés
"La menace vient de l'intérieur", mais quand même surtout de
l'extérieur
Les employés malveillants utilisent leur connaissance pour tenter leur
actions de l'extérieur
Dénis de service
...
30 / 51
En quoi consiste le périmètre ?
Savoir où commence et où s'arrête son espace de
responsabilité
Les responsables ne savent pas toujours qu'ils sont responsables
Joint-venture, GIE, structures à 50/50, sous-traitants, infrastructures
infogérées, contrats inadaptés , etc
Savoir où commence et où s'arrête son système d'information
Réseaux sans fil
Stockages amovibles
Télémaintenances
Infogérances
Nomades
31 / 51
En quoi consiste le contrôle d'accès
Etre capable de dire sur chaque paquet qui entre ou qui sort du
système d'information s'il peut entrer ou sortir
Ne pas permettre les codes malveillants
Ne pas permettre les canaux cachés
Encapsulations dans HTTPS
Faire la même chose sur tous les protocoles de transport
IP, HTTP, SIP, XML, SS7, etc
32 / 51
HTTP/HTTPS
Laisser ouvert HTTPS sur Internet revient à
connecter son réseau privé sur Internet sans
firewall
Il faut analyser le contenu de HTTP et d'HTTPS
Rechercher les protocoles re-encapsulés interdits
internet
http
firewall
http
Analyser tous les contenus pour y détecter ceux qui
sont malveillants ou ne répondent pas à sa politique
de sécurité
Appliquer le même filtrage dans HTTP que celui
que nous réalisions sur TCP/IP dans les années
1990
Dans les deux sens
33 / 51
http
http
HTTP/HTTPS
Exemple de logiciels cherchant à contourner le
contrôle d'accès du firewall :
Microsoft avec RPC over HTTPS, Outlook 2003, etc
VPN-SSL, ssltunnel, stunnel, http-tunnel, etc
Courrielweb (Webmail)
Logiciels d'EDI avec XML qui remettent du MIME et des
protocoles de RPC dans HTTP/HTML,
Logiciels de messagerie instantanée
Logiciel de partage d'agenda et de messagerie
Logiciels basés sur les Web Services
Logiciels poste à poste (P2P:Peer-toPeer)
34 / 51
HTTP/HTTPS
Filtrer les logiciels de contournement de firewall
institutionalisés
Logiciels volontairement installés sur le PC
Messageries universelles qui renvoient la messagerie d'entreprise à
l'extérieur sans serveur central dans votre SI
Ipracom, Blackberry
Logiciel de prise de contrôle à distance
WebEx, Interwise
Téléphonie propriétaire
Skype
Filtrer les logiciels malveillants qui sont passés à l'intérieur et
qui recherchent la sortie vers l'extérieur
Spywares, keyloggers, etc
35 / 51
HTTP/HTTPS
La majorité des logiciels pilotent Internet Explorer
Il faut à la fois un firewall HTTP/HTTPS sur le périmètre et un firewall
personnel sur chaque poste qui sachent travailler de concert
Journaliser le trafic
Y comprit le nombre d'octets transmis et les valeurs du champ
ContentLength
Détecter les anomalies et les valider / invalider
Beaucoup de trafic sortant
Site unique, URL unique
HTTPS : autoriser les sites dans une liste blanche
Compromis à faire...
36 / 51
HTTP/HTTPS
Exemple de requêtes HTTP POST et GET avec RTSP
POST /SmpDsBhgRl HTTP/1.0
Accept: application/x-rtsp-tunnelled, */*
Content-type: application/x-pncmd
Content-length: 32767
3fe06463-55b0-448d-be04-120bd3cb7a1f
1BUSU9OUyBydHNwOi8vcm[...]
HTTP POST Request
HTTP POST Request body : Base64 encoded
RTSP Control channel
HTTP GET Request
GET /SmpDsBhgRl3fe06463-55b0-448d-be04-120bd3cb7a1f HTTP/1.0
Accept: application/x-rtsp-tunnelled, */*
ClientID: WinNT_5.0_6.0.10.505_play32_RN9GPD_en-US_686_axembed
X-Actual-URL: rtsp://realserver.domain.tld/videos/20d05122002.rm
HTTP/1.0 200 OK
Server: RMServer 1.0
Content-type: audio/x-pn-realaudio
Content-length: 2147483000
HTTP Reply body : Base64 encoded
RTSP/RTP Control/Data channel
RTSP/1.0 200 OK
CSeq: 1
Date: Mon, 06 Dec 1999 08:13:01 GMT
Server: RealServer Version 6.1.3.946 (sunos-5.6-sparc)
Public: OPTIONS, DESCRIBE, ANNOUNCE, SETUP, GET_PARAMETER, SET_PARAMETER, TEARDOWN
StatsMask: 3
[...]
37 / 51
HTTPS
Une forme de firewall HTTPS en sortie est possible
Le type de trafic même chiffré peut se distinguer entre un
usage web normal en HTTPS et un tunnel VPN-SSL
Tunnel SSL = une session SSL et une connexion TCP
Accès web en HTTPS = une session SSL et plusieurs connexions TCP
Protocoles interactifs dans le tunnel SSL
Accès au web dans le tunnel SSL : trafic sans établissements et
fermetures TCP
TCPStatflow permet de mesurer le trafic dans chaque sens et
l'uptime des sessions TCP et d'en tirer des alarmes
Voir la présentation "SSL VPN connection multiplexing techniques"
pour plus de détails
http://www.hsc.fr/ressources/presentations/upperside05fw/
38 / 51
HTTP/HTTPS
Attention il n'y a pas que HTTP/HTTPS !
DNS
Encapsulation ancienne mais popularisée depuis quelques années
Idem HTTP : filtrage, journalisation, détection
SMTP
39 / 51
Télémaintenances
Minimiser les télémaintenances
Routeurs, PABX, SAN, Imprimantes, SAP, ...
Intégrer sa politique de sécurité dès le départ dans tout
processus d'infogérance et de télémaintenance
Contractuellement et systématiquement, ne serait-ce que pour savoir
qu'il y a de la télémaintenance
Créer un portail de contrôle d'accès
Indépendamment des moyens de connexion
Authentifier individuellement chaque télémainteneur
Journaliser les connexions
Recopier si possible la session complète des informations qui
remontent à l'extérieur
40 / 51
Mobilité et nomadisme
Gérer et appliquer sa politique de sécurité sur tout ce dont se
sert un employé
Ordinateur portable, assistant personnel, téléphone, ...
Une organisation, un service de support, des procédures d'alerte, un
inventaire temps réel du parc connecté
Une authentification de l'employé et une connexion au SI par tunnel chiffré
Contrôle d'intégrité et mise en quarantaine avant la reconnexion au réseau
d'entreprise
Gestion de parc centralisée exhaustive
Une politique de protection locale du mobile ou nomade lui-même
Firewall + anti-virus + anti-spyware + ... gérés de manière centralisée
Chiffrement des données (indispensable contre le vol)
Maintien à niveau des moyens de protection lorsque le nomade est à
l'extérieur
41 / 51
Internet et Telecom
Les télécommunications et l'Internet ne font qu'un
Le PABX classique est un ordinateur Unix qui interroge l'annuaire
d'entreprise
La télémaintenance par liaison téléphonique en PPP ne sert qu'à
contourner le firewall sur les liaisons IP
SAN
Le photocopieur est un PC avec scanner/imprimante sur le réseau d'entreprise et
télémaintenu par une ligne téléphonique
Les liaisons séries des immeubles intelligents passent aussi à IP
RS232 devient Telnet sans authentification
Les protocoles propriétaires (LonTalk, BACnet) sont ré-encapsulés sur IP
Voix sur IP / Téléphonie sur IP / GSM sur IP ...
Le PABX ou Centrex remplace toutes les strates de firewalls IP
Manque d'offre de Firewalls IP et telecom
42 / 51
Voix sur IP / Téléphonie sur IP
La voix sur IP / téléphonie sur IP
N'est pas équivalente à la téléphonie classique
Signalisation/contrôle et transport de la voix sur le même réseau IP
Perte de la localisation géographique de l'appelant
Ne permet pas l'application de votre politique de sécurité
N'offre pas la sécurité à laquelle vous étiez habitué
N'est pas juste "une application en plus"
Faible authentification mutuelle, aucun chiffrement
Solutions propriétaires disponibles chez Avaya, Cisco, Ericsson
Risques d'interception et de routage des appels vers des numéros
surfacturés
Falsification des messages d'affichage du numéro renvoyés à l'appelant
Attaques accessibles à tout informaticien et pas juste aux spécialistes de
la téléphonie numérique
43 / 51
Sur le périmètre : un nouveau firewall
Un PABX n'est pas un firewall et ceux qui ont testé pour vous ont été
victimes d'intrusions
Filtrage encore parfois complexe et sensible à la traduction d'adresse
Sur le réseau privé : une architecture nouvelle
VLAN dédiés
Filtrage par adresses MAC par port
QoS
Un coût d'exploitation
Les interfaces d'administration web des équipements de VoIP ont les failles
habituelles des applications web
Les services comme le DNS et DHCP deviennent critiques
Rappel : le téléphone est le principal outil de sécurité des personnes
44 / 51
Ne pas encore utiliser la téléphonie sur IP de manière
généralisée sans sérieuse étude préalable intégrant la sécurité
Il n'y a encore aucun calcul de retour sur investissement
Sauf pour le vendeur
Attendre que la normalisation de la sécurité à l'IETF soit terminée
Protocole de gestion de clés VoIP pour SIP : MiKEY
Attendre que les terminaux aient les moyens de supporter des
négociations de clés en cours de conversation et de chiffrer
Un challenge de plus pour les firewalls et la protection
périmétrique
Un firewall dans mon téléphone pour ne pas sonner quand une société
de marketing téléphonique appelle le samedi matin
45 / 51
Au delà du périmètre
Cloisonner le réseau et intégrer la sécurité dans le réseau
Le réseau est le dénominateur commun du système d'information
Le réseau est le premier composant réellement sous le contrôle
de l'entreprise
Séparer les réseaux bureautique, supervision, téléphonie, etc
Prévoir les commutateurs/firewalls et la prise en compte de
l'espace hertzien
Prévoir et accepter la sécurité entre les VLAN
Authentifier équipements et utilisateurs
Gérer dans le réseau des zônes de confiances telles qu'elles
existent dans l'entreprise
Le cloisonnement permet de créer des lignes de défense qui
appliqueront une défense en profondeur
46 / 51
Firewall en plusieurs boîtes
ou tout en un ?

Tout-en-un :
Filtrage IP + vérification protocolaire + VPN + antivirus + IDS/IPS avec
des mises à jour automatiques
Adapté aux installations lointaines, petites de type PME ou site isolé
Boitiers spécialisés
Un ou plusieurs boîtiers n'effectuant qu'une fonction
Adapté aux installations centrales, aux opérateurs
Devant permettre des mise à jour en production sans discontinuité de
service
Permettant de profiter du meilleur chez chaque fournisseur
Complémentaires
47 / 51
Conclusion
Prenez toujours en compte la sécurité à l'origine des projets
Partez toujours de vos besoins, de votre métier, et jamais des
offres du marché
Organisez, formalisez et passez de la tradition orale à la
tradition écrite
Vision, analyse de risque, politique de sécurité, ...
Sachez profiter des avancées technologiques et des gains de
productivité en toute sécurité
Questions ?
[email protected]
www.hsc.fr
48 / 51
Prochains rendez-vous
Convention Sécurité : Paris 15 et 16 juin
Exposition porte de Versailles
Deux jours de tutoriels et de conférences gratuites
Progr : http://www.hsc.fr/conferences/csm05_programme.html
Inscription en ligne : http://www.conventionsecurite.com/
Formations à Alger avec NT2S 2005/06 : http://www.nt2s.com/
Formations SecurityCertified : 5-9 & 19-23 septembre
Permettant de passer la certification SCNP
http://www.hsc.fr/services/formations/
Formation BS7799 Lead Auditor : octobre 2005
Certifiée par LSTI et reconnue par l'IRCA
http://www.hsc.fr/services/formations/
49 / 51
Ressources HSC
Sur www.hsc.fr vous trouverez des présentations sur
Audits de sécurité
BS7799
Infogérance en sécurité
Sécurité des réseaux sans-fil
Sécurité des SAN
Sécurité des bases de données
Lutte contre le SPAM
etc
Sur www.hscnews.com vous pourrez vous abonner à la
newsletter HSC
50 / 51
Remerciements
A toute l'équipe de CFAO AlBM pour leur invitation
51 / 51

Sécurité des Systèmes d`Information en milieu bancaire

Transcription

Documents pareils

Oeuvres complètes

Les documents à conserver

Bienvenue dans le logiciel de gestion d`un tournoi de Football

Version PDF - Herve Schauer Consultants

Sécurité PHP - Herve Schauer Consultants

Version PDF - Herve Schauer Consultants

Etre ou ne pas être, telle est la question

Compte-rendu Black Hat Europe 2008

coloriages garcons_portrait.ai