16
novembre 2010

INSIA - Cryptologie : Cours N°4

Rédigé par Matthieu CERDA   4 commentaires   Mis à jour le  16/11/2010

Et c'est parti pour de nouvelles aventures !
On commence le cours sur le phénomène de la "folle de charcot" : Une personne peut trouver intuitivement une information en étant en état d'hypersensibilité.

Le professeur aborde avec beaucoup de poésie le hacking éthique.

Quels sont les problèmes rencontrés dans la sécurisation des sites :

  • Le pognon$$$

  • Les failles humaines : négligeance, coût humain, volonté de préserver son travail.

  • Les failles logicielles


Exemple : un serveur, dans les toilettes, sous les tuyaux d'eau, sans ventilation, avec les sauvegardes posées sur le serveur, a l'abandon.

Pourquoi le problème n'est pas aussi connu que ça ?

  • Plus le réseau est grand plus le risque d'être faillible est grand


La crypto permet de contourner le problème : il n'y a plus besoin de réparer toutes les failles très vite, on ralentit les choses.

Une petite présentation ancienne ayant pour sujet une étude de sécurité dans une grande entreprise d'énergie française est faite, et on remarque que le réseau est un vrai gruyère : des vulnérabilités sont présentes a beaucoup de niveaux. Les intervenants extérieurs conseillent la création de "bulles de sécurité", afin de parer au plus urgent.

Le projet est lancé avec une deadline de 3 mois, avec pour objectif de créer un système résistant, mais rencontre une forte opposition des équipes en place qui créent un projet concurrent. (3/2 ans de moratoire et migration vers MS Vista, et organisation d'une journée de la sécurité au stade de france)

Bilan au bout des 2 ans de moratoire : la situation est toujours aussi pourrie, les mdp sont triviaux et tout est vulnérable. Une preuve de concept est présentée pour discréditer toute opposition, et exhibe de manière explicite toutes les failles ...

Une seconde présentation est faite, ayant pour source le Groupe Gartner : Il y a 10 défis pour un groupe informatique

  1. Sécuriser les données

  2. Assurer la continuité d'activité

  3. Nettoyer les réseaux hérités du passé

  4. Organiser la mobilité

  5. Faire plus avec moins

  6. Garantir les performances du système

  7. Certifier l'informatique (normes ISO, etc...)

  8. Simplifier l'infrastructure informatique

  9. Simplifier l'accès aux applications et aux données


Proverbe Texan : "If you always do what you always did, you always get what you always got"

On évolue vers un nouveau paradigme :

  • S (écurité) : de bout en bout

  • A (ccès) : ATTAWAD (AnyTime, AnyWhere, Any Device)

  • C (ontinuité) : Interne et Externe


Grâce a la virtualisation, il devient possible de protéger assez simplement l'information.

Création de systèmes "Secure by design" => Isolation totale de toutes les couches d'opération de l'entreprise.

On gère plusieurs zones séparées, sans interconnexion directe => sandboxes, dont plusieurs implémentations sont proposées aujourd'hui : Citrix, Windows vServer ...

Ce type d'infrastructure est dite "OSS" ou "Bastion".

4 commentaires

#1 nonton movie online a dit :

After looking into a handful of the blog articles on your blog, I really like your way of writing
a blog. I saved it to my bookmark website list and will
be checking back in the near future. Take a look at my web
site as well and tell me your opinion.

#2 Sportwetten Website a dit :

Hey would you mind sharing which blog platform you're using?

I'm planning to start my own blog soon but I'm having a tough time making
a decision between BlogEngine/Wordpress/B2evolution and
Drupal. The reason I ask is because your layout seems different then most blogs and I'm looking for something completely unique.
P.S Sorry for getting off-topic but I had to ask!

#3 dewamovie a dit :

Thank you for any other informative site. Where else may just I get that
type of information written in such a perfect approach? I
have a challenge that I'm just now running on, and I have
been on the look out for such information.

#4 australian open live streaming a dit :

Amazing! Its really awesome article, I have got much clear idea about from this article.

Écrire un commentaire

Quelle est la première lettre du mot dqvfe ? :