IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Sécurité informatique : évaluation des risques pouvant toucher les secteurs majeurs de l'IT
    Sécurité informatique : évaluation des risques pouvant toucher les secteurs majeurs de l'IT, les menaces les plus dangereuses étudiées et dévoilées

    Le département de l'U.S. Homeland Security, dans un effort partagé avec l'Information Techonology Sector Coordinating Council, vient de publier un rapport de 114 pages présentant plusieurs scénarios d'attaques méticuleusement préparées visant des éléments clés d'infrastructures IT, qui pourraient causer des dommages à une échelle nationale (voir plus). Le rapport évoque aussi l'élasticité du secteur IT pour minimiser les risques de la survenue de tels dérangements.

    Intitulée "Evaluation des risques de base du secteur IT", l'étude a pour but d'orienter les décideurs de ce secteur et du gouvernement américain dans la prévention de tels risques, avec des conseils stratégiques. Six domaines critiques y sont particulièrement examinés -par des experts évaluant chacun dans leur spécialité les risques potentiels à très lourdes conséquences- : chaîne logistique, services de résolution du nom de domaine, contrôle de l'identité et services de trust support, contenus hébergés sur Internet et services de communication, services Internet et routing providers et, enfin, services de réponse en cas d'incident.

    Au niveau de la chaîne logistique, le rapport dévoile un scénario ou un groupe de criminels organisés pourrait installer un logiciel espion voleur de données entrées au clavier (bank-password keystroke logger) dans le logo du logiciel de distribution d'un fabricant d'ordinateurs portables. Une telle action serait désastreuse autant en terme de dégats sur les machines que dans la confiance des usagers envers une marque de fabrique.

    Concernant le DNS (Domain Name System), un attaquant pourrait essayer d'établir un root aléatoire vers lequel les requêtes DNS pourraient être redirigées. Un serveur root de ce type mis en ligne sur Internet et créant un déni de service pour des transactions financières pourrait miner la stabilité et la sécurité de l'économie américaine (et s'étendre aux autres pays).
    Des attaques à grande échelle utilisant ce type de procédé sur le DNS et celles désorganisant un "Internet inter-opérable" auraient des retombées néfastes très importantes.

    Dans un paragraphe plus rassurant, le rapport explique cependant que des mesures contre des dérangements de cette ampleur sont déjà en place ou en passe de l'être.

    Dans le cadre du DNS, le contrôle en temps réel des équipements par les centres d'exploitation des réseaux, la protection contre des changements de configuration inattendus et les vérifications de processus sont là pour prévenir l'exécution de code malveillant. De plus, l'éparpillement géographique des serveurs hébergeant les root du DNS et ses domaines top-niveau signifient qu'en cas d'attaque sur l'un d'entre eux, ni le système total ni Internet dans sa globalité ne seront paralysés.

    Enfin, la migration vers DNSSEC (une infrastructure DNS davantage sécurisée) réduira d'autant plus les possibilités de menaces.

    De même, du fait de l'utilisation de stratégies sophistiquées d'approvisionnement et de rappel de produits, les chances d'intrusion d'un composant compromis dans la chaîne logistique et de sa propagation sont faibles. Les conséquences en seraient néanmoins catastrophiques.

    C'est pourtant, ironiquement, dans un contexte sécuritaire particulièrement à vif, où nombre de sites populaires et gouvernementaux ont subi de plus en plus d'attaques conséquentes (à des fins mercantiles ou pour subtiliser des informations sensibles de type "secret-défense"), que ce rapport fait son apparition.

    Nombre d'experts pensent que les cyber-attaquants ont déjà pénétré beaucoup de systèmes gouvernementaux et financiers et sont actuellement en mesure de provoquer de grandes perturbations si besoin il y a, ou si l'envie leur en prend, et ce, dans le monde entier.

    Source : Les 114 pages du rapport

    Le président américain Barack Obama a récemment fait des déclarations sur le sujet, plébiscitant une "stratégie compréhensive" pour défendre les intérêts américains dans le cyber-espace. Attendez-vous un comportement similaire de la part du gouvernement français et l'intervention de Nicolas Sarkozy en personne ?

    Barack Obama a également souhaité le développement de capacités de cyber-offensive, non seulement pour contrer les attaques, mais aussi pour y répliquer. Là encore, quelles mesures attendez-vous de la France ?

  2. #2
    Membre expérimenté Avatar de s4mk1ng
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Juillet 2008
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2008
    Messages : 535
    Points : 1 302
    Points
    1 302
    Par défaut
    de toutes façon il va falloir que les pays se mettent à la cyber-défense si ils veulent pas se faire pirater leur système comme il y a quelques années par la chine...
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  3. #3
    Membre éclairé
    Homme Profil pro
    Développeur
    Inscrit en
    Juin 2006
    Messages
    645
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Juin 2006
    Messages : 645
    Points : 709
    Points
    709
    Par défaut
    Quand, au moment de sa campagne, Nicolas Sarkozy se vantait de n'avoir jamais utilisé un ordinateur de sa vie, j'espère qu'en cas d'intervention sur le sujet, il saura bien s'entourer... un peu comme pour la HADOPI ou la LOPSSI quoi...
    « Se demander si un ordinateur peut penser est aussi intéressant que de se demander si un sous-marin peut nager. »
    -- Edsger Dijkstra

  4. #4
    Membre averti Avatar de argonath
    Homme Profil pro
    Ingénieur d'Etudes
    Inscrit en
    Juillet 2009
    Messages
    248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'Etudes
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2009
    Messages : 248
    Points : 381
    Points
    381
    Par défaut
    Citation Envoyé par alband85 Voir le message
    un peu comme pour la HADOPI ou la LOPSSI quoi...
    Oh, en tout cas il ne pourra pas moins bien s'entourer ^^

  5. #5
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par samuel.s Voir le message
    de toutes façon il va falloir que les pays se mettent à la cyber-défense si ils veulent pas se faire pirater leur système comme il y a quelques années par la chine...
    Les "grands pays" (ont va dire ceux qui ont les moyens et le besoin de se doter d'une défense électronique) l'ont à peu près compris d'après ce que j'en sais.

    Les derniers livres blancs sur la défense édité, en France ou ailleurs, vont en ce sens, en définissant l'art du contrôle de l'information comme un nouveau moyen d'attaque/défense des armées et territoires.
    Dans ces "moyens", on va trouver
    - la capacité à obtenir et propager l'information plus rapidement
    Donnant un avantage dans la capacité de décision pour le c&c
    - la capacité à dés informer l'adversaire
    Pour par exemple retourner la population civile contre son gouvernenment,
    déprimé les infanterie adverse,
    ou mieux encore introduire de fausses informations dans le c&c adverse

    Il faut savoir aussi qu'auparavant les armées créer des casernes d'entrainement physique, elles disposent aujourd'hui de centre de formation spécifique aux nouvelles technologies.
    En chine ils forment par exemple des spécialistes de la sécurité (sous entendez hackers).

    Fin voilà, si le sujet intéresse quelques personnes, je les invitent à lire misc, dans les anciens numéros ils ont faits quelques dossiers sur ces livres blancs, de l'inde à la chine, et d'autres.
    (Je ne m'en souviens plus trop bien :\ ).


    Le président américain Barack Obama a récemment fait des déclarations sur le sujet, plébiscitant une "stratégie compréhensive" pour défendre les intérêts américains dans le cyber-espace. Attendez-vous un comportement similaire de la part du gouvernement français et l'intervention de Nicolas Sarkozy en personne ?
    C'est quoi une stratégie compréhensive ? Une stratégie qui accepte que l'on se fasse attaquer ?
    Je veux dire par là, ne pas créer une guerre réelle parce qu'un pekenos de l'autre bout du monde à voulu s'introduire dans un ordinateur de la cia ou du pentagone ?
    Ce qui m'amène à me demander comment un expert de la guerre pourra faire la différence entre une attaque de botnet chinois "civile" et une attaque de botnet contrôlé par des militaires chinois ? (Je prend l'exemple des chinois, mais c'est simplement symptomatique d'une crainte infondée...)
    Et donc à partir de qd peut on définir un acte de piraterie électronique comme une déclaration de guerre ....


    a plus

  6. #6
    Futur Membre du Club
    Inscrit en
    Juillet 2009
    Messages
    4
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 4
    Points : 7
    Points
    7
    Par défaut
    merci pour tout

  7. #7
    Membre éclairé
    Homme Profil pro
    Développeur
    Inscrit en
    Juin 2006
    Messages
    645
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Juin 2006
    Messages : 645
    Points : 709
    Points
    709
    Par défaut
    Citation Envoyé par mahmoud85 Voir le message
    merci pour tout

    Mmmh... de rien ?
    « Se demander si un ordinateur peut penser est aussi intéressant que de se demander si un sous-marin peut nager. »
    -- Edsger Dijkstra

Discussions similaires

  1. Audit de sécurité-Méhari-Analyse des risques
    Par sami_ji dans le forum Sécurité
    Réponses: 3
    Dernier message: 29/03/2011, 15h09
  2. Réponses: 37
    Dernier message: 21/05/2010, 16h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo