Influence des tests d'intrusion sur l'évaluation des risques

La sécurité de l’information est un domaine prenant un essor considérable suite aux attaques informatiques fréquentes ayant fait l’objet d’une couverture médiatique internationale, depuis les dix dernières années. Nous sommes donc à l’ère où la protection de l’information numérique représente un enjeu capital pour les entreprises et les gouvernements. Ces acteurs sont de plus en plus sujets à la numérisation de leur processus d’affaires et des documents associés. Les attaques informatiques auxquelles ils sont exposés ont donc des impacts d’autant plus importants selon la criticité de l’information. L’évaluation des risques informatiques est la discipline permettant d’analyser les actifs informationnels détenus par ces acteurs. Elle a pour but d’en évaluer les différents aspects de sécurité afin d’identifier les risques, les évaluer et formuler des recommandations pour les réduire. Pour cela, les méthodologies actuelles d’évaluation des risques se basent principalement sur des scénarios de menaces pouvant potentiellement se matérialiser sur l’environnement informatique d’une entreprise. Ces approches prennent pour acquis que la démarche d’analyse de risque repose principalement sur l’énumération de scénarios de menaces qui sont génériques et peu adaptés à l’environnement de l’entreprise concernée. Nous sommes donc arrivés à nous questionner sur plusieurs aspects liés à la validité des processus d’analyse et d’évaluation des risques informatiques. Cette notion de risque informatique n’a cessé de croître durant les vingt dernières années, et ce principalement dû à la médiatisation des incidents de sécurité ainsi qu’à la prise de conscience concernant l’importance des actifs informationnels numériques, tant du côté corporatif qu’individuel. L’évaluation des risques informatiques est désormais une des préoccupations principales des entreprises soucieuses de la protection liée à leurs actifs informationnels.----------ABSTRACT: The security of digital information is an area of extreme importance nowadays, since the various attacks on the Internet have been the focus of international media coverage for the last ten years. We therefore are in an era where the protection of information is a key issue for businesses and governments. These actors are increasingly subject to the digitization of their business processes and related documents. The attacks they are exposed to can have severe impacts depending on the criticality of the proprietary information concerned. Computer risk assessment is the discipline used to analyze the information assets held by these enterprises and governments. Its purpose is to evaluate the various aspects of security in order to identify risks, evaluate them, and implement recommendations to reduce them. To this end, current risk assessment methodologies are based mainly on threat scenarios that could potentially materialize on a company's digital environment. These approaches enforce that the risk analysis approach relies mainly on the enumeration of threat scenarios that are generic and not adapted to the digital environment of the company concerned. Thus, we have come to question several aspects related to the validity of the processes of analysis and evaluation of computer risks. This notion of computer risk has kept increasing for the last twenty years, mainly due to media coverage of security incidents and to raising awareness about the importance of securing digital assets. IT security risk assessment is now one of the main concerns of companies concerned about the protection of their information assets

Analyse de vulnérabilités et évaluation de systèmes de détection d'intrusions pour les applications Web.

Avec le développement croissant d Internet, les applications Web sont devenues de plus en plus vulnérables et exposées à des attaques malveillantes pouvant porter atteinte à des propriétés essentielles telles que la confidentialité, l intégrité ou la disponibilité des systèmes d information. Pour faire face à ces malveillances, il est nécessaire de développer des mécanismes de protection et de test (pare-feu, système de détection d intrusion, scanner Web, etc.) qui soient efficaces. La question qui se pose est comment évaluer l efficacité de tels mécanismes et quels moyens peut-on mettre en oeuvre pour analyser leur capacité à détecter correctement des attaques contre les applications web.Dans cette thèse nous proposons une nouvelle méthode, basée sur des techniques de clustering de pages Web, qui permet d identifier les vulnérabilités à partir de l analyse selon une approche boîte noire de l application cible. Chaque vulnérabilité identifiée est réellement exploitée ce qui permet de s assurer que la vulnérabilité identifiée ne correspond pas à un faux positif. L approche proposée permet également de mettre en évidence différents scénarios d attaque potentiels incluant l exploitation de plusieurs vulnérabilités successives en tenant compte explicitement des dépendances entre les vulnérabilités.Nous nous sommes intéressés plus particulièrement aux vulnérabilités de type injection de code, par exemple les injections SQL. Cette méthode s est concrétisée par la mise en oeuvre d un nouveau scanner de vulnérabilités et a été validée expérimentalement sur plusieurs exemples d applications vulnérables. Nous avons aussi développé une plateforme expérimentale intégrant le nouveau scanner de vulnérabilités, qui est destinée à évaluer l efficacité de systèmes de détection d intrusions pour des applications Web dans un contexte qui soit représentatif des menaces auxquelles ces applications seront confrontées en opération. Cette plateforme intègre plusieurs outils qui ont été conçus pour automatiser le plus possible les campagnes d évaluation. Cette plateforme a été utilisée en particulier pour évaluer deux techniques de détection d intrusions développées par nos partenaires dans le cadre d un projet de coopération financé par l ANR, le projet DALI.With the increasing development of Internet, Web applications have become increasingly vulnerable and exposed to malicious attacks that could affect essential properties such as confidentiality, integrity or availability of information systems. To cope with these threats, it is necessary to develop efficient security protection mechanisms and testing techniques (firewall, intrusion detection system,Web scanner, etc..). The question that arises is how to evaluate the effectiveness of such mechanisms and what means can be implemented to analyze their ability to correctly detect attacks against Webapplications.This thesis presents a new methodology, based on web pages clustering, that is aimed at identifying the vulnerabilities of a Web application following a black box analysis of the target application. Each identified vulnerability is actually exploited to ensure that the identified vulnerability does not correspond to a false positive. The proposed approach can also highlight different potential attack scenarios including the exploitation of several successive vulnerabilities, taking into account explicitly the dependencies between these vulnerabilities. We have focused in particular on code injection vulnerabilities, such asSQL injections. The proposed method led to the development of a new Web vulnerability scanner and has been validated experimentally based on various vulnerable applications.We have also developed an experimental platform integrating the new web vulnerability scanner, that is aimed at assessing the effectiveness of Web applications intrusion detection systems, in a context that is representative of the threats that such applications face in operation. This platform integrates several tools that are designed to automate as much as possible the evaluation campaigns. It has been used in particular to evaluate the effectiveness of two intrusion detection techniques that have been developed by our partners of the collaborative project DALI, funded by the ANR, the French National Research AgencyTOULOUSE-INSA-Bib. electronique (315559905) / SudocSudocFranceF

Evaluation de la sécurité du circuit des médicaments anticancéreux dans un hôpital régional en Tunisie

Introduction: Parmi les événements indésirables, ceux liés au circuit des médicaments occupent une place importante et risquent de causer un préjudice grave aux patients. Dans ce contexte, nous avons mené cette étude dans l'optique de décrire et d'évaluer le circuit des médicaments anticancéreux dans un hôpital régional tunisien. Méthodes: Il s'agit d'une étude évaluative du risque lié aux médicaments  anticancéreux, type « visite de risque » menée sur une période de 15 jours au cours de l'année 2014 au service de cancérologie de l'hôpital régional de Gafsa (Tunisie). Cette méthode d'évaluation est inspirée de celle conduite par le projet « SECURIMED » développé par le Comité de Coordination de l'Evaluation Clinique et de la Qualité en Aquitaine (CCECQA), en France. Résultats: Dans notre étude, l'observation du circuit des médicaments anticancéreux a révélé certaines insuffisances. On a noté que la répartition des missions des différents acteurs est sujette parfois à des glissements de tâches. Un manque important ainsi que une inadéquation aux normes au niveau des équipements nécessaires pour la préparation et la protection des professionnels manipulant ces  médicaments ont été également décelés. Conclusion: La sécurisation du circuit des médicaments devrait être une priorité inscrite dans l'ensemble des démarches nationales et partagée par tous les intervenants et ce dans l'optique d'atteindre un objectif prémium : la qualité de la prise en charge globale et la sécurité des patients.Key words: Risk management, anticancer drugs, patient safety

Risk Software Perspective / Recensement des logiciels de risque

With the collaboration of Benoit Aubert Indeed, the complexity of the concept of risk involves the need for high-level tools in order to allow for effective management. The goal of this document is to acquire a global perspective on the principal risk software. By establishing an analysis grid, it is possible to compare the various approaches according to the type of risk analyzed and their respective fields. Such an approach sheds light on the vast market of risk software by isolating their principal characteristics, and to identify possibilities of future improvement. More precisely, the document identifies a number of software programmes which performs risk evaluation, measurement and management. Each work sheet presents software from a specific provider and is divided into four sub-sections. The first sub-section names the supplier, the price, the year of creation, the industries in which the tool is used, the available versions, and the availability of demonstrations. The second sub-section includes a short discussion of the software, its history and its distinctive characteristics. The third sub-section describes the type of risk the supplier addresses, its useful field, the necessary entry data (source, database), the analytical treatment, the output, as well as the necessary support software. Finally, a list of the principal advantages and disadvantages of each software is offered. Avec la collaboration de Benoit Aubert En effet, la complexité de la notion de risque entraîne la nécessité d’avoir accès à un outillage de haut niveau afin de permettre une gestion efficace. Le but de ce document est d’acquérir une perspective d’ensemble par rapport aux principaux logiciels portant sur le risque. En établissant une grille d’analyse, il est possible de comparer les différentes approches selon le type de risque analysé et les domaines d’utilisation. Une telle démarche permet d’éclaircir le vaste ensemble des logiciels de risque en isolant leurs caractéristiques principales pour éventuellement être en mesure de cerner les pistes de développement futur. Plus précisément, le document présente des fiches sur un bon nombre de logiciels qui traitent de l’évaluation, la mesure, l’analyse et la gestion des risques. Chaque fiche présente un logiciel différent ainsi que son fournisseur. Chacune d’entre elles sont divisées en quatre sous-sections. La première nomme le fournisseur, le prix, l’année de création du groupe, les industries dans lesquelles l’outil peut-être utilisé, les versions disponibles et la présence d’un démo. La seconde sous-section comprend une brève discussion du logiciel, de son historique, de la compagnie qui l'a développé et de ses caractéristiques distinctives. La troisième sous-section décrit le type de risque auquel le fournisseur s’adresse, le domaine d’utilisation principal, les données nécessaires à l’entrée (source, base de données, …), le traitement, les données à la sortie ainsi que les logiciels de supports nécessaires. Finalement, une liste des principaux avantages et inconvénients de chaque logiciel est offerte.

Portrait de la vulnérabilité d’une organisation face aux utilisations des technologies de l’information et de la communication

RÉSUMÉ : Parmi les différentes technologies disponibles pour faciliter le quotidien des organisations, les technologies de l’information et de la communication s’imposent comme l’une des révolutions à laquelle font face les organisations dans ces dernières années, et ce notamment avec l’avènement des technologies liées au nuage (cloud-computing). En posant l’utilisation réelle comme la base de réalisation d’un portrait de vulnérabilité, ce projet vise dans son ensemble à sensibiliser les gestionnaires des PME à un nouveau type d’approche des risques développé par le Centre risque & performance de Polytechnique Montréal : l’approche par conséquences. Cette approche s’oppose à la vision classique du risque qui place l’aléa et sa probabilité d’occurrence au centre de la plupart des analyses des risques. Ce mémoire de maîtrise présente dans un premier temps une revue de littérature portant sur la vision de la vulnérabilité technologique classique, puis expose des concepts permettant de proposer aux gestionnaires des petites et moyennes entreprises une analyse approchant cette vulnérabilité technologique sous un nouvel angle : celui des utilisations réelles faites des différentes technologies. Par la suite, une étude de cas est présentée. Elle incorpore les retours obtenus en procédant à des réunions avec les gestionnaires des PME partenaires et amène finalement à une nouvelle définition de la vulnérabilité face aux utilisations des TIC. Enfin, le dernier chapitre propose une discussion et ouvre la voie vers de potentiels travaux dans cette direction.----------ABSTRACT : Among all the technologies that are available for businesses in order to improve their daily activities, the information and communication technology are today seen as one of the most challenging changes in their business model especially with the cloud-computing based technologies soaring. Considering the actual real usage of ICT in business as a basis for a vulnerability analysis, the project tries to make business owners aware of the existence of a new way to approach risk analysis: “l’approche par conséquences” which you can translate by consequences’ approach. This approach is an alternative to the traditional way most risk management methods adopt which consist in establishing the probability of an unwanted event to happen. This master report presents in its first part a literature review about the general view of classic technological vulnerability, then highlights the concepts that are used to propose to small and medium business owners an analysis based upon the actual real usage of their technologies in their business. Therefore, a case study is presented, including the feedback received during the meetings with the project partner SMBs and leads to a new definition of technological vulnerability. The last chapter is a discussion about the results of the tests that were made and opens on future potential projects

Sécurité dans les réseaux Wi-Fi : étude détaillée des attaques et proposition d'une architecture Wi-Fi sécurisée

Nous avons assisté ces dernières années à la montée en puissance des réseaux locaux sans fil ou encore Wi-Fi, qui sont en passe de devenir l'une des principales solutions de connexion pour de nombreuses entreprises. Le marché du sans fil se développe rapidement dès lors que les entreprises constatent les gains de productivité qui découlent de la disparition des câbles. Avec cette évolution rapide de ce type dématérialisé de réseaux, les exigences en termes de sécurité deviennent de plus en plus sévères. De ce fait, beaucoup de travaux et d'efforts ont été consentis ces dernières années afin d'aboutir à des solutions pour sécuriser ces réseaux. Toutefois, des vulnérabilités persistent encore et il est toujours possible de monter des attaques plus ou moins facilement. Notamment, contre le dernier né des protocoles de sécurité Wi-Fi, à savoir WPA2, qui bien qu'étant plus robuste sur le plan conceptuel que les générations précédentes, fait face à un problème majeur, celui de son incompatibilité matérielle avec les précédents protocoles. En effet, WPA2 exige de nouveaux équipements matériels, ce qui constitue un surcoût économique énorme pour les entreprises ayant déjà déployé des équipements Wi-Fi d'anciennes générations. Dans ce mémoire, nous élaborons une synthèse exhaustive de toutes les attaques qui ciblent les réseaux Wi-Fi. Cette synthèse comprend une classification des attaques par rapport aux standards de sécurité ainsi que l'illustration des détails de leur mise en œuvre. Outre le volet conceptuel et théorique, nous abordons également le volet pratique et montrons sa richesse. Nous proposons également une nouvelle approche architecturale de sécurisation des réseaux Wi-Fi dans l'entreprise. Notre proposition prend en compte l'hétérogénéité des équipements et des standards de sécurité supportés. Cette nouvelle architecture a le mérite d'offrir une grande flexibilité ainsi qu'une sécurité renforcée par rapport aux approches traditionnelles. Pour élaborer cette solution sécurisée, nous nous sommes basés principalement sur la différenciation à plusieurs niveaux (standard de sécurité supporté, communauté d'utilisateurs, nature de trafic). Ces niveaux de différenciation offrent la granularité nécessaire pour permettre une meilleure gestion du réseau et un meilleur contrôle d'accès aux ressources, ce qui améliore la sécurité du réseau Wi-Fi en particulier et du système d'information de l'entreprise dans son ensemble.\ud ______________________________________________________________________________ \ud MOTS-CLÉS DE L’AUTEUR : Wi-Fi, sécurité, attaque, architecture sécurisée, différenciation

VERS UNE AMELIORATION DE LA PERFORMANCE DES PME PAR LA REDUCTION DU RISQUE DANS UN CONTEXTE DE L'INTELLIGENCE ARTIFICIELLE

La nature risquée de la conduite de projets est largement reconnue. En effet, aussi importants que soient les gains visés par une organisation lorsqu’elle entreprend un projet, les dépassements de budget ou de délais, l’insatisfaction des clients du projet, le manque de qualité des livrables, la perte de qualité du logiciel, la réduction de la fonctionnalité peuvent diminuer et même parfois anéantir les bénéfices escomptés. Cependant force est de constater que tout se passe comme si dans la recherche sur le processus de production de l’accident, on exclut une phase importante, celle justement de l’analyse et de l’évaluation des risques présente normalement à toutes les phases du système, depuis sa conception jusqu’à son démantèlement ou sa mise au rebut. Comme pour le Système de Management de la Qualité défini par l’ISO 9001, le dispositif de gestion du risque opérationnel a vocation à suivre un cycle continu d’amélioration de type PDCA (Plan, Do, Check, Act). Il s’agit des quatre étapes de l’amélioration continue mentionnées dans la norme ISO 9001 et également s’appuie sur le processus de Management des Risques (ISO 31000). La réduction des risques n’est que l’une des composantes de l’amélioration de la performance, qui vise également à réduire (en moyenne et en variabilité) les délais, les coûts et les défauts. L’objectif d’un processus de gestion des risques opérationnels est d’améliorer les processus, renégocier les assurances et sensibiliser l’entreprise aux risques opérationnels (culture risque). Notre travail consiste à systématiser la culture de risque à travers le recours à des outils de l’Intelligence Artificielle s’appuyant sur l’utilisation des Systèmes Multi-Agents(SMA). Cela permettra sans doute à l’entreprise de : ü  Baisser le coût lié aux pertes opérationnelles (en moyenne et surtout en variabilité) de manière à générer un accroissement durable de la rentabilité de l’établissement, ü  Réduire la probabilité d’occurrence et la sévérité d’événements extrêmes qui pourraient amputer le résultat, voire les fonds propres. Même si chaque entreprise a son approche personnalisée du sujet, le modèle du management du risque que nous proposons reflète l’essentiel d’un tel dispositif

Transcription cartographique et prévention des risques

The purpose of this paper is the identification and mapping of risks. Natural, technological and social developments are regularly emerging several risks. There has been a growing awareness of the need to anticipate these difficulties developments, since the risk is recognized as an integral dimension of the weights. The need to consider the risk to be able to anticipate and overcome before it can cause damage is also now evident. To accomplish this task, several tools are available which mainly transcription mapping that has become an essential tool for risk prevention. This article is composed of three parts. In the first part, we will take the necessary analysis of the problem of emerging risks and factors underlying their evolution. We will offer a first outline of risk issues through a general block diagram of risks (legend, analysis and processing). Then, we try to explain the component hazard and vulnerability component of risk. In the second part, the analysis turns to the transcription mapping of risk. We will see what and to whom is it for? What are its features? What changes could be proposed by the risk mapping? In the last part, we will extrapolate various elements of the risk management cycle. We will present a statement of the issues and needs of an integrated risk management. So we'll see if the risk management necessarily involves the precautionary principle and if an integrated approach is necessary

Mise en perspective des approches françaises et néerlandaises de prévention de risques industriels : application à un dépôt de liquides inflammables

National audienceIn The Netherlands and in France, a probabilistic approach is implemented for the management of the industrial risk. Both technical and political context have generated two specific approaches. Accounting for the specific aims of the risk prevention in these two countries, the use of probabilities in risk have to be analyzed with regards to two topics: the risk assessment and the public decision. This point of view allows to emphasize, for France and The Netherlands, the specific aspects of risk regulation and prevention measures triggered in the framework of risk management and land-use planning public policies.Une approche probabiliste de la gestion des risques industriels est en place aux Pays-Bas et en France. Des contextes technico-politiques ont donné lieu à deux approches originales. Au regard des finalités de la prévention propres aux deux pays, il s'agit de considérer l'intégration de la probabilité à un double niveau : celui de l'évaluation des risques et celui de la décision publique. Cette mise en perspective permet de dégager les particularités des deux dispositifs et la déclinaison opérationnelle des leviers de la prévention propres aux deux pays pour les politiques publiques de maîtrise des risques et de maîtrise de l'urbanisation