Découvrez les conseils d'Alex Huart (CT-Interactive) pour mieux sécuriser votre entreprise et empêcher tout pirate informatique de découvrir les données confidentiells de votre PME
2. Une PME est-elle une bonne cible pour un malveillant ? Non, bien trop petit pour l’intéressser Oui, on les appelle des « sittingducks »
3. Quelleest la menace la plus grave ? Infection virale, Worm, trojans … Spyware, Keyloggers Denial of Services Compromission de l’identité Divulgation des données Compromission des données
5. Je n’aique2recommandations… Parefeutoujoursactivésur les portables Encryptez les portables Pourquoi ? De quel type d’attaqueélectroniqueavez-vousétévictimel’an dernier … 50% -> portables Quelleattaqueélectroniquevous a causé le plus de dommages financiers … 80% -> portables
6. La sécurité c’est de l’argent … 20MB de donnéesperduesc’est 21 jours de travail et coûte€15.000 à régénérer. Les attaquesviralesontcoûté aux entreprises €43 milliards en 2009 Les PME en Europe perdent environ €22 milliards en downtime chaqueannée. 5,000 notebooks ontétéoubliésdans les taxis de Londresces 6 derniersmois … En PME la perte des données a causé la faillite de la sociétédans 50% des casl’an dernier! D’aprèsuneétude Microsoft EMEA sur les risquesinformatiques en 2009.
7. 1% d’indisponibilité … (35h/semaine) 99% 99,9% 27:02 IT = down 8 collaborateurs 53€/h = 11’465 € 2:42 IT = down 8 collaborateurs 53€/h = 1146,5 € > 10.000 €
8. Angoisse du dirigeant Interdirel’accès … ? (Access Denied). Protégerl’entreprise des pertesfinancièresliées aux usages frauduleuxoumalheureux des technologies ICT.
15. Contrôle de Detention Gardesarmés … Access Control List –> Permission Locked-down configuration ? Ordinateurs portables ??? Présupposé: utilisateursautorisésn’abusent pas de leur relation de confiance Présupposé: les données ne sont pas “mobilisables”
16. Contrôle de confidentialité > détention Au repos EFS Bitlocker RMS SQL encryption S/MIME En mouvement IPSEC SSL SQL encryption S/MIME Bénéfice: protège les données où qu’elles soient
17. Protection des données : contrôle de détention. BIOS passwords Pas universel Assurer la gestion ? Comment ?? Quid sioublié ?! SysKey mode 3 Bien pour les local accounts … quid des autres ? Utiliser system restore disk siperdu Passwords Limiter les attaques “pass-the-hash”
18. Protection des données = contrôle de confidentialité S/MIME Universel Protège les données ‘fixe ou mobile’ Problèmeinhérent: comment voustranmettre ma clé en toutesécurité ? Encrypting file system (EFS) Transparent pour les applications et les utilisateurs Pas vulnérable par attaquesautomatisées (domain accounts or SysKey 3) Doitabsolumentavoir un RECOVERY ; mieuxdomaine & PKI BitLocker drive encryption (BDE) Volume encryption Protège les données et le système Déployer un RECOVERY niveaudomaine Rights management services (RMS) Contrôled’accès non lié au contrôle de détention Géré par Policy enforcement niveauapplications (Office …)
20. Clés (keys) de Windows Quelquesunes … SysKey startup key DPAPI master keys EFS and file encryption keys S/MIME keys IPsec keys Computer and user keys SSL keys Storage root keys Volume encryption keys Comment sontelles protégées ?
21. Protection des clés de Windows 1: registry 2: floppy 3: boot up SSL keys IPsec keys DPAPI key SAM or AD LSA secrets Safe mode admin pw startup key at logon EFS keys S/MIME keys DPAPI key user profile startup key
22. Renversementstratégique Windows XP, Windows 2000, Windows 2003, R2 Sécurité du réseau Repose sur les contrôlesd’accès. On ferme tout cequ’onpeut … Windows 7, Windows 2008 Sécurité des données. Repose sur les contrôles de confidentialité. Tout ce qui n’est pas explicitementautoriséestinterdit Données Système.
23. Troisaméliorationsdans Windows 7 Windows Service Hardening (durcissement du kernel) BitLocker Drive Encryption User Account Control Télécharger Windows 7 Security Guide
24. K K K K U U U U Windows Services Hardening Windows Services sontprofilés Réduire la taille des security layers Segmenter les services Aumenter le nombre de couches Service 1 Service … Service 2 Service… Service A Service 3 Service B Kernel Drivers User-mode Drivers
26. Exemple: event log ACL Eventlog:W SysEvent.evt Write- restricted token Eventlog service Protège les services, le kernel des « exploits »
27. BitLocker™ Drive Encryption Empêcher la prise de contrôle de l’OS par un malveillant Sécuriser les données en cas de perte, vol … Utilise un chip v1.2 TPM Stockeunepartie de la clésur USB ou flash drive BitLocker
29. Windows Protection de l'Information Vousprotège de QUI ? Autresutilisateur, les administrateurs de la machine…? EFS Accès physique non autorisé ? BitLocker™ Usage abusif de l’information ? RMS
30. User Account Control UAC(contrôle des comptes utilisateurs) Systèmedoitêtreefficace pour un Utilisateur Standard. Pouvoir changer sesparamètresfonctionnels Assurer la protection du critique (registry, FS …) par la virtualisation Rendrel’élévation de privilègestoujours visible Limiter le privilègeadministrateurdans le temps et dans la tâche.
32. 3 améliorationsdans Windows 2008 Server R2 Network Access Protection Read Only Domain Controller AD Right Management Services (federation) Télécharger Windows Server 2008 R2 Security Guide
33. Network Access Protection Empêcherl’accès au réseau de PC non-conformes Validation de l’état de santé OS, AV … mises à jour Conformité par politique Vérifierque le PC soitconforme aux normesexigées Firewall enabled Antivirus installed Latest updates installed Limiter l’accès Empêcher la connexion au réseau des cas non-conformes
34. Protéger les infrastructures distribuées Fonctions CLES Surface MINIMALE Windows Server Core Sécuriserl’AD Read-Only Domain Controller Prévenir la compromission de l’AD BitLocker Drive Encryption
35. Protéger le Capital Intellectuel: RMS Workflow Auteur reçoit un certificat pour ses clients la prmièrefoisqu’ilutilise RMS pour protégerl’information Active Directory SQL Server Auteur définisesdroits, règles et usage pour le jeu de fichiersconcerné. RMS créeuneLicence de Publication et encrypte les données. Windows Server running RMS 3 Auteur distribue les fichiers. 4 1 Destinataireouvre le fichier RMS-enabled, l’applicationappelle le RMS server qui validel’utilisateur et émet un “Use License.” 2 5 3 L’application RMS-enabled ouvre le fichier et applique les droits, règles … The Recipient Author using Office
36. Conclusion Sécurisation a évoluédepuis 2003, le couple XP-W2K3 n’est plus le meilleur L’apparition des mobiles boulverse la donne SmartPhone, PC Portables, Accès à Distance … Protéger les Données = Priorité Windows 7 et Windows 2008 Server Nouvellesréponses Problèmesconnusou Nouveaux défis Stratégie de protection Données Kernel
37. Le minimum minimorum Operating System: SP + patch = à jour Applicatifs infrastructure: SP + patch = à jour AntiVirus & Anti-Malware = à jour AntiSpam = à jour Firewall applicatif: couche ISO 7 Géré, patchés Suivi des comptesutilisateurs, Mots de passes complexes, One Time Password…
38. Toujoursvulnérables … Applicatif exposé augmente la surface d’attaque Pilotes mal écrits = brêchesdans le kernel Données ‘mobiles’ ou ‘mobilisables’ Utilisateurs avec droitsétendus Géraldine à la réception = droitszéros Manager (top ?), Ingénieurs, = droitsétendus USB, DVD … Pas de patch contre les utilisateurs naïfs …
39. Se méfier des apprentis sorciers De quelles certifications formelles votre informaticiens peut-il se prévaloir ? Microsoft certifie ses partenaires … Spécialistes PME, Certified, Gold… Les autres aussi ;-)