Archive 30/01/2020

Les données informatique

Laisser un commentaire
Pentesting

 

1         Introduction

Les données représente en informatique les informations d’un programme soit du texte soit le contenu pour que le programme en tirer à la demande des utilisateurs.

1.1        Caractéristiques

Une donnée possède plusieurs caractéristiques :

  • Un type.
  • Une criticité.
  • Les droits.
  • Les moyens d’accès.

1.2        Les supports de stockages

Etant donné les données se sont des informations, elles sont alors stockées dans le temps sur un support de stockage (disque dur, CD-Rom, DVD-Rom, Clé USB, Serveurs de fichiers, système d’information, etc….).

En instant T, elle peut également être présente dans la mémoire vive d’un ordinateur, transiter sur le réseau.

Ces supports permettent de la produire, l’utiliser, de l’archiver, de la modifier, et de la partager.

2         La criticité des données

2.1        L’importance des données

Les données est principalement se caractériser par son importance pour vous et pour votre entreprise.  Donc, sa criticité se caractérise par rapport à son importance qui représente.

2.2        La mémoire et intelligence

Les données qui sont à l’entreprise représente le cerveau de l’homme, de ses employés, de la richesse de l’entreprise. Elles constituent les informations sensibles qui peuvent porter atteindre à l’entreprise si elles sont divulguées à des tiers.

2.3        Son accessibilité

Les données doivent être accessible qu’aux personnes autorisées, il est donc important de mettre en place un système de classification et de définir qui accès à quel niveau de classification.

En France, le code de la défense propose 3 niveaux de classifications des informations :

  • Très secret défense
  • Secret défense
  • Confidentialité défense

3         La classification des données

3.1        Très secret défense

Le plus haut niveau de secret de l’information, Il réserve aux informations et support qui concernent les priorités gouvernementales en matière de défense et de sécurité nationale.

On estime que la divulgation d’une telle information est de nature à nuire très gravement à la défense nationale.

3.2        Secret défense

Le niveau secret défense quant à lui est réservé aux informations et support dont la divulgation est de nature à nuire gravement la défense nationale.

3.3        Confidentialité défense

Le niveau Confidentialité défense est réservé aux informations et supports dont la divulgation est de nature à nuire à la défense nationale on pourrait conduire à la découverte d’un secret de la défense nationale classifiée.

3.4        Restreint / Public

Ce niveau peut être réadapter selon les besoins de l’entreprise. Autre part, votre entreprise peut également ajouter d’autres niveaux tels que « Restreint » et « non-protégé /public » visant respectivement à protéger ou non l’information.

4         La classification et les droits d’accès

4.1        La confidentialité des données

Pour préserver la confidentialité des données, des droits d’accès sont définis selon les utilisateurs.

  • Droit de lecture seule (Consultation uniquement)
  • Droit d’écriture (Modification des documents)
  • Droit d’administration (Consultation / Suppression des documents / et modifications des droits d’accès des utilisateurs)

4.2        La durée de vie

La durée de vie des données est comme un être humain. Elle a une date de création, de modification, puis son obsolescence dans laquelle elle n’a plus de valeur (ou une valeur réduite).

La destruction des données sur un support peut intervenir pendant la phase de durée de vie utile ou lorsque l’information n’a plus de valeur. On appelle « le cycle de vie de l’information ».

4.3        Les modalités

Les modalités concernant son classement, son stockage, son échange et sa destruction sont définies dès sa création selon les classifications.

5         Les risques sur les données

Il existe plusieurs niveaux de risques pour les données. Ils sont plus ou moins important selon les critères de disponibilités, d’intégrité, et de confidentialité (DIC), connu en Anglais sous le sigle (CIA) Confidentiality, Integrity, Availaibility.

5.1        Risque d’atteindre à la disponibilité

Le premier niveau de risque d’atteinte la disponibilité des données, c.-à-d., le fait que le système ne soit pas disponible pour un utilisateur autorisé.

En 2016, de nombreux d’attaque DDoS ont ainsi atteinte de nombreux sites Web marchands connus, notamment grâce aux objets connectés comme nous avons pu le voir précédemment avec les caméras de surveillances.

L’indisponibilité des données peuvent entraîner des pertes financières dues à la baisse d’activité.

5.2        Risque d’atteindre à l’intégrité

Atteindre à l’intégrité des données, veut dire la modification non-autorisée des données. L’atteinte à l’intégrité des données peut engendrer des conséquences pour l’entreprise qui se trouverait avec des données erronées qui peut entraîner aussi des pertes financières.

5.3        Risque d’atteindre à la confidentialité

Atteindre à la confidentialité veut dire sur la divulgation non-autorisée des données. Elle peut être plus ou moins important selon leur niveau de classification (Très secret défense, Secret défense, confidentialité défense, etc.…).

Elle peut être causée par une personne malveillante et peut être involontaire lors d’un déplacement par exemple.

 

Curriculum Vitae

Laisser un commentaire

Consultant en infrastructure réseaux, systèmes et cybersécurité

COMPETENCE FONCTIONNELLE

Gestion de projet
  • Processus Agile ou cascade, Conduire les comités de   pilotage, mettre en place les tableaux de bord,             impliquer les décisionnaires, sélectionner et                 coordonner l’activité des prestataires.
  • OPEX, CAPEX.
  • Facturation, gestion des risques, pilotage, planning,    maîtrise de l’infrastructure.
  • Manager d’équipe : recrutement, formation et évaluation des collaborateurs.
  • Externalisation, Centres de Services, relations client/fournisseurs et contrats.
  • Expressions de besoins et appels d’offre, budget,      juridique et droit des contrats.
  • Cahier des charges fonctionnels.
Cybersécurité
  • Gestion des risques, ISP.
  • ISO 2700x/22301.
  • Conformité RGPD et LPM.
  • Durcissement
  • La cryptographie : PKI, SSL, TLS, Symétrique, Asymétrique
  • Antivirus
  • Conseil en PCA/PRA, PCI-DSS, PDIS, PRIS, FORENSIC, SIEM.
  • Audit SSI, Pentest (PTES).
Architecture
  • N tiers
  • Document DAT : HLD, DLD
Méthodologie
  • MERISE, UML, ITIL, PTEST, EBIOS
COMPETENCE TECHNIQUE
Système
  • Linux, Windows
Virtualisation
  • XenServer, VMware, Citrix.
Périphérique réseau
  • Cisco, HP, F5 BigIP, BlueCoat.
Firewall
  • Cisco, Checkpoint, PaloAlto, Fortinet, Netasq, Stormshield.
Services
  • DNS, SNMP v2/3, NIS, NFS, SAMBA, LDAP, AD, DHCP.    SMTP/SMTP Gateway, IMAP, Reverse Proxy/Proxy, SSH, VPN, Vlan, WiFi, Iptables, HSRP, VRRP.
Messagerie
  • Exchange, Postfix.
Supervision
  • Hobbit, Nagios, Whatsup, EON, Centreon, Nagvis, Cacti.
SGBD
  • MySQL, MSSQL
ERP/CRM
  • Sage, Cegid, Ciel, Vtiger, Workbridge.
Application
  • MsOffice, Dameware, PcAnywhere, MsProject, Rsyslog, LogAnalyzer, OSSEC, Splunk, Qradar.

Le Système d’information

Laisser un commentaire
Routage

1.    Introduction

Le système d’information est un ensemble de ressources qui permet de collecter, stocker, traiter et distribuer des informations. Ces systèmes d’information sont disponibles dans le cyberespace et les espaces non-droit.

Aujourd’hui, plusieurs objets sont connectés aux systèmes d’information. Ils sont présents pour collecter, pour stocker, pour traiter, et pour distribuer.

La liste de ces objets sont de plus en plus nombreux :

  • Les ordinateurs,

  • Les serveurs,

  • Les tablettes,

  • Les smartphones,

  • Les caméras de surveillances,

  • Les voitures connectées, etc…

Tous ces objets sont vulnérables lorsqu’ils sont connectés à l’internet. Le cyberespace est un endroit à haut risques.

Dans certains pays, l’utilisation de cyberespace est réglementée. Comme, stocker ou/et transiter les données chiffrées non autoriser ou certains pays vont même créer un réseau complètement fermé, c’est la volonté de contrôler le système d’information.  D’autres, disposent même techniquement la capacité de bloquer ou de censurer tout ou une partie d’internet.

2.    Réglementation Française sur le système d’information

En France dispose également de réglementation. Elle a créé plusieurs entités nationales pour encadrer le système d’information et pour défendre contre les cyberattaques. Je vais vous décrire quelques entités nationales pour prendre connaissance de leurs principaux activités.

2.1. Commission National de l’Informatique et des Libertés (CNIL)

Le CNIL a été créé par la loi informatique et liberté du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

2.2. La loi Godfrain du 5 janvier 1988

Loi no 88-19 du 5 janvier 1988 relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.

2.3. La loi pour la confiance dans l’économie numérique 

Le décret no 2004-575 du 21 juin 2004, abrégée sous le sigle LCEN, est une loi française sur le droit de l’Internet, transposant la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La transposition de la directive 2000/31 aurait dû être effective le 17 janvier 2002 mais ne l’aura été que le 21 juin 2004.

2.4. Network and Information Security (NIS)

  • Améliorer la capacité de cybersécurité des états membres.
  • Améliorer la coopération entre les états et les secteurs publics et privés.
  • Exiger les entreprises des secteurs critiques : Energie, Transport, Finances et la Santé ainsi que les services internet clés adoptent les pratiques de gestions des risques et communiquent les accidents majeurs aux autorités nationales.
  • La directive est structurée autour de 4 axes :
    • Le renforcement des capacités nationales de cybersécurité. Les états membres doivent notamment se doter d’autorité nationale compétentes en matière de cybersécurité, l’équipe nationale de réponse aux incidents informatiques (CSIRT) et de stratégie nationale de sécurité. Pour la France : ANSSI et CERT-FR.
    • Etablissement d’un cadre de coopération volontaire entre les états membres de l’UE. Création de groupe coopération des états membres sur l’aspect politique et cybersécurité ainsi qu’un réseau européen des CSIRT des états membres.
    • Renforcement par chacun des états de la cybersécurité de services essentiels.
    • L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.

2.5. Le règlement général sur la protection des données (RGPD)

Il responsabilise les organismes publics et privés qui traitent leurs données. La réforme de la protection des données a pour 3 objectifs :

  • Renforcer les droits des personnes, notamment sur la création d’un droit à la portabilité des données personnelles et des expositions propres aux personnes mineurs.
  • Responsabiliser les acteurs qui traitent les données.
  • Crédibiliser la régulation grâce à une coopération renforcer entre les entités de protections des données qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et renforcer les sanctions.

3.    Législation internationale sur le système d’information

ICANN, est une organisation à but non lucratif et reconnue d’utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l’interopérabilité de l’Internet.