Peut-on réellement et efficacement sécuriser un SI ?

Extraits

[...] Page 21 sur 66 Les moyens permettant ces contrôles sont multiples. Il s'agit des incidents de sécurité, des indicateurs de contrôle, des tableaux de bord sécurité, des rapports d'audit internes, des enregistrements produits par le SMSI, etc. Il y a pour cela différentes solutions : Le contrôle interne qui consiste à s'assurer en permanence que les processus fonctionnent normalement. Les missions d'audit (interne ou externe) qui vont vérifier que les mesures de sécurité (évidemment en priorité celles qui couvrent les risques les plus graves) sont : efficaces : capable d'assurer sa fonction dans des circonstances plus ou moins courantes et face à des acteurs ayant des compétences plus ou moins grandes robustes : mesure sa capacité à résister à une action visant à la court-circuiter ou à l'annihiler. [...]

[...] Injection SQL : La faille SQLi, abréviation de "SQL Injection", soit "injection SQL" en francais, est un groupe de méthodes d'exploitation de faille de sécurité d'une application interagissant avec une base de données. Elle permet d'injecter dans la requête SQL en cours un morceau de requête non prévu par le système et pouvant en compromettre la sécurité. AES : Advanced Encryption Standard ou AES (soit « standard de chiffrement avancé » en français), est un algorithme de chiffrement symétrique. Il est le standard de chiffrement pour les organisations du gouvernement des États-Unis. Il a été approuvé par la NSA (National Security Agency) dans sa suite B des algorithmes cryptographiques. [...]

[...] Plus l'organisation est grande, plus elle aura besoin de procédures bien établies décrivant clairement qui fait quoi. Le système de management est un outil visant à obtenir le niveau de qualité souhaité en assurant la conformité aux exigences. Son application systématise l'établissement de procédures opérationnelles et administratives, leur formalisation et leur communication. Des indicateurs significatifs et une analyse des dysfonctionnements permettent d'apporter des actions préventives et correctives nécessaires en vue de s'inscrire dans une démarche d'amélioration continue. Vision empirique d'un système de management Il existe des organismes de normalisation qui publient des normes applicables à ces systèmes de management, comme le BSI (British Standards Institution), l'IEC (International Electrotechnical Commission) ou l'ISO (International Organization for Standardization). [...]

[...] Et ce sont précisement ces points que les attaques vont tenter de compromettre. Cependant on peut classifier les différents risques qui planent sur un SI de plusieurs façons, sans pour autant parler obligatoirement « d'attaques » : Les types de risques : Risques humains (internes ou externes à l'organisation) Risques techniques Risques juridiques Les objectifs des attaques : Attaques sur la confidentialité Attaques sur l'intégrité Attaques sur la disponibilité Ou Attaques physiques Attaques logiques (ciblées ou non) Les types de menaces : Volontaires (actives ou passives) Involontaires Par exemple, une attaque par déni de service (attaque visant à perturber le bon fonctionnement d'un service en envoyant un nombre de requêtes supérieur à ce que le système peut gérer) peut être classifiée à la fois comme « risque technique », attaque sur la disponibilité du système, « menace volontaire » (active), et « attaque logique ». [...]

[...] Une APT cible généralement une organisation pour des motifs d'affaires ou un État pour des motifs politiques. Une APT exige un degré élevé de dissimulation sur une longue période de temps. Le but d'une telle attaque est de placer du code malveillant personnalisé sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu pendant la plus longue période possible. Différents mécanismes sont utilisés par l'attaquant (ingénierie sociale, exploitation de failles 0-day ) pour arriver à ses fins (voir Annexes). [...]