Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité) Référentiel de compétences Réseaux-Sécurité (1/2) Compétence (action, exprimée par un verbe, de résoudre un problème posé en mobilisant savoir, savoir-faire et savoir-être pour ) Sous-compétence Type (technique, méthodologique, modélisation, opérationnel, fontionnelle, projet) Concevoir, développer et tester une Concevoir un protocole modélisation de niveau applicatif application répartie Modéliser un système à événements discrets modélisation Implémenter une application répartie en technique utilisant des sockets Concevoir et dimensionner une infrastructure distribuée Modéliser et évaluer le coût d'une infrastructure Sélectionner, paramétrer et intégrer des composants matériels et logiciels Administrer une infrastructure distribuée 3IF Base 4IF Elevé Modules (à répéter autant de fois qu'il ya des modules dans le domaine) 3IF-RE; GHOME 3IF-RE Base 3IF-RE; GHOME degré de contribution du Objectifs d'apprentissage (ensemble des module à connaissances à mobiliser pour l'acquisition de la l'acquisition de compétence) la compétence (++, +) Modèles OSI et INET, diagrammes de séquences UML, modèles de synchronisation, algorithmes distribués Automates à états finis, mécanismes de synchronisation, spécification événementielle Sockets TCP/IP, programmation événementielle, architectures logicielles multi-tâches, REST Elevé Elevé Base Intermédia 3IF-RE; 4IFRE; GHOME ire Evaluation de performance, protocoles de service méthodologique et technique Base Intermédia 3IF-RE; 4IFRE ire Routage, adressage IP, calcul de capacité d'un canal de communication modélisation Base Définir et implémenter méthodologique et projet une stratégie de test Concevoir, mettre en œuvre et administrer une infrastructure matérielle et logicielle distribuée Niveau (de base, intermédiaire, élevé) 4IF-RE; GHOME Intermédiaire Technique Opérationnel 3IF-RE Base Base 3IF-RE; 4IFRE Modèles de réseaux opérateurs DNS, DHCP, commutation et routage, VLAN, VPN, plan d'adressage, pare-feux, masquage d'adresse SNMP, MiB, ICMP Référentiel de compétences Réseaux-Sécurité (2/2) Définir et mettre en œuvre une politique de sécurité Analyser les menaces et les vulnérabilités Méthodologique d'un système Base 4IF-RE Sécuriser un système informatique Base 4IF-RE Elevé 3IF-RE; 4IFRE; GHOME Intégrer et adapter les technologies Analyser et comprendre une émergentes : clouds, mobilité, nouvelle technologie ubiquité, P2P… Technique Méthodologique Réaliser un état de l'art Méthodologique technologique Utiliser les nouvelles technologies dans la conception et la mise en œuvre Technique et d'applications et opérationnel systèmes répartis Base 4IF-RE Intermédiaire Elevé 4IF-RE; GHOME Méthodologies de modélisation des risques, PSSI, typologies des menances et attaques Chiffrement, authentification, contrôle d'accès, VLAN, VPN, pare-feux, masquage d'adresse, IPv6, règles de filtrage, Ensemble des connaissances acquises en IF Clouds, informatique mobile, réseaux de capteurs, réseaux sociaux, informatique ubiquitaire, Internet des objets, technologies Web Clouds, informatique mobile, réseaux de capteurs, réseaux sociaux, informatique ubiquitaire, Internet des objets, technologies Web Rappels : quelques protocoles de base... • Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP, SNMP, routage, authentification, IPSEC, ATM, POP, SMTP, HTTP, TELNET, NFS, DNS et algos : DES, RSA, MD5, SHA… • L’objectif n’est pas de connaître ces protocoles par cœur mais de connaître leur structure et de comprendre leurs fonctionnalités et limitations Application réseau / système réparti = système complexe (I) • Concevoir une application réseau est un assemblage complexe – comprendre les besoins – installer - réserver les tuyaux (dimensionnement) – structurer l’application • • • • • patrons de sécurité (security patterns) sous-réseaux - réseaux virtuels - plan d’adressage tolérance aux fautes tolérance aux catastrophes survivabilité – sécuriser l’application • • • • mécanismes d’authentification cryptage gestion de droits (autorisations) pare-feux - réseaux virtuels – VLAN - etc. Application réseau = système complexe (II) – définir les protocoles • • • • architecture logicielle schémas de communication librairie de communication Algorithmique – interfacer l’application • interface systèmes sous-jacents (archives, SGBD, serveurs de noms, serveurs « sécurité », moteurs transactionnels…) – administrer l’application • architecture d’administration • outils d ’administration, monitoring Transparence • • • • Le Graal des systèmes répartis La condition de leur utilisation Solutions et outils génériques Tolérance aux fautes et gestion de la qualité de service KISS : Keep It Simple and Stupid Sécurité – Que retenir ? Une notion de base : le risque • Toutes les informations/tous les sous-systèmes n’ont pas la même valeur • Toutes les informations/tous les systèmes ne sont pas exposés aux mêmes menaces • Risque = analyse « valeur vs menace » • Rappel : définition ISO 31000-2009 : « Le risque est l’effet de l’incertitude sur les objectifs » • Valeur/Menace/Risque ne sont pas des données statiques ; elles dépendent des processus métiers et de l’environnement et évoluent avec eux Sécurité – Que retenir ? Menaces • Comprendre les menaces et le fonctionnement de base des attaques • Analyser les risques, c’est-à-dire relier structure du système et menaces/attaques • Concevoir /Structurer un système en vue de minimiser les risques… tout en garantissant sa performance (fonctionnalités, facilité d’utilisation, évolutivité, tolérance aux fautes/robustesse, coût…) (minimiser l’impact sur les processus métier !) Sécurité – Que retenir ? Outils pour la sécurité • Outils méthodologiques : savoir que cela existe, en comprendre le principe et l’utilité • Outils techniques : authentification/signature, certificats, contrôle d’accès, pare-feux, VLAN, VPN, etc. : en connaître les principes, les fonctionnalités, les utilisations, les limites • Ce ne sont que des outils. L’« intelligence » et l’efficacité résident surtout dans la bonne utilisation de ces outils(sélection, intégration, coordination, placement, paramétrisation…) Rappel - Sécurité : idées de base (I) • Mettre en place une politique globale de gestion du risque • Séparer les fonctions • Minimiser les privilèges • Centraliser les changements • Cerner les IHM • Mettre en place de plans de sauvegarde et de reprise Rappel - Sécurité : idées de base (II) • Cibler les éléments vitaux/essentiels • Utiliser des techniques de conception et de programmation standardisées • Monitorer l’ensemble des éléments de l’entreprise : systèmes informatiques, réseaux, personnel (traçabilité) • Informer et former les personnels Rappel - Sécurité : synthèse • Sécurité = compréhension du fonctionnement de l’entreprise + de la méthodologie + un peu de technique + du bon sens + de la sensibilisation • Il existe des outils puissants mais aussi beaucoup de failles de sécurité • Outils techniques : IP secure, VLAN, VPN, IDS, pare-feux, DLP, ERM… • Outils méthodologiques : PSSI, SMSI, security patterns, survivabilité, confiance, réputation… • Passage d’une logique de « piratage » par un individu à un spectre composite de menaces : espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques à grande échelle, cyberguerre • Le facteur humain est central • Complexification : « entreprise ouverte », externalisation, « cloudification » ; botnets, « advanced persistent threats (APT) », « advanced evasion techniques »… • Nécessité d’une prise en compte globale au niveau de l’entreprise Nouvelles frontières • • • • • Informatique multi-échelle : de l’objet (du composant d’objet) au cloud Informatique partout ― Informatique pervasive Informatique « user-centric » Informatique « business-centric » Ecosystèmes numériques • => systèmes de plus en plus ouverts • => forte évolution des risques et menaces • => vers une « sécurité collective » : notion de confiance et de réputation • => concepts de (protection de la) vie privée/confidentialité interrogés => notion d’identité/de « moi » numérique Conclusion • Votre rôle : comprendre-assembler-organiser-intégrer des solutions « vivantes » • Numérisation de la société : un horizon créatif sans limite mais des nouveaux risques émergents – – – – intelligence économique dépendance au SI et risque systémique cyber-attaques traçage des personnes, conditionnement/influence/contrôle/surveillance des personnes, • « Primum non nocere » (D’abord, ne pas nuire) ! Interrogez-vous sur les conséquences et risques de vos solutions (sur les processus métier de l’entreprise, sur l’organisation de l’entreprise, sur les performances du système impacté, en terme de respect de la vie privée des personnes, en terme de résistance aux attaques et dysfonctionnements… ) • Derrière les réseaux, vivent des personnes : soyez des ingénieurs humanistes :-) !