Archives de catégorie : Non classé

Démystifier le RGPD / GDPR (avec la CNIL)

Vous avez dû surement voir énormément de titres racoleurs sur le RGPD :

  •         “Etes-vous prêt pour le RGPD?”
  •         “Attention, le RGPD arrive! Préparez vous !”
  •         “Faites le quizz pour savoir si vous êtes conforme au RGPD”
  •         “Le TOP 10 des raisons pour se mettre au RGPD, le 4ème va vous étonner!” (Bon OK, ça je l’ai inventé)

Tout ça montre que le RGPD est un sujet qui suscite beaucoup d’interrogations. Et c’est pour cette raison qu’avec la CNIL, on a décidé de faire cette vidéo FAQ spécial RGPD pour répondre à vos questions.

 

 

 

Petit rappel du RGPD

RGPD veut dire Règlement général sur la protection des données. On voit aussi souvent le terme GDPR qui est la traduction en anglais pour General data protection Regulation.

Il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne. En gros, le RGPD va harmoniser la régulation des données personnelles  dans l’ensemble des pays de l’Union Européenne.

Et Il est applicable à partir du 25 mai 2018.

Par donnée personnelle on entend « toute information se rapportant à une personne physique identifiée ou identifiable » donc, à la fois des données de type nom, prénom, un numéro d’identification, des données de localisation, un identifiant en ligne, etc,

 

 

Q1 de Philippe par mail : Vous parlez des structures qui vont être impactées dans votre vidéo  mais il semble après avoir surfé sur le Web que toutes les entreprises ne sont pas concernées.

Pourriez-vous me dire précisément quels sont les critères qui font qu’une structure doit mener des actions en lien avec RGPD ?

La règle d’or, c’est que le RGPD s’applique à une organisation à chaque fois :

  • qu’ elle traite des données personnelles,
  • qu’un résident européen est directement visé par un traitement de données.

En d’autres termes cela veut dire que le RGPD s’applique aussi bien sur

  •  une organisation établie sur le territoire de l’Union européenne
  •  qu’une organisation hors UE qui met en œuvre des traitements pour fournir des biens et des services aux résidents européens.

Exemple : Les entreprises US comme Uber, les GAFA ou les sites de ecommerce chinois doivent donc respecter le RGPD dès lors qu’ils ciblent les résidents européens.

Le RGPD s’applique à tous les organismes quelque soit leur taille, leur secteur ou leur caractère public ou privé.

Le RGPD concerne donc :

  •         Les entreprises
  •         Les organismes publics,
  •         Les associations
  •         Ainsi que les sous-traitants dont les activités rentrent dans ce cadre

Toutes les entreprises doivent respecter le règlement.

Mais en fonction de la sensibilité des données, de leur volumétrie et des impacts des données sur le business, le travail de conformité au RGPD de l’organisation sera différent.

Exemple : Une grosse entreprise multinationale (de grande surface par exemple) qui traite de volumétrie importante de données aura des problématiques plus importantes sur la gestion et le suivi, et l’organisation interne de ses données.

Alors qu’une startup de santé qui gère peu de clients mais qui traite des données relatives à leur santé (donc avec un fort impact sur les libertés des personnes). Cette startup va avoir un plus gros travail de sécurisation des données (peu de données mais des données très sensibles)

Voici les types de données considérées comme sensibles

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,
  •  des données d’infraction ou de condamnation pénale,

Enfin concernant les structures impactées, il faut aussi prendre en compte les sous traitants. Et c’est un grand changement du RGPD, il est à noter que les sous-traitants ont désormais une responsabilité propre et sont tenus de respecter des obligations spécifiques.

Ils ont notamment une obligation de conseil auprès du responsables de traitement (donc leur client) et doivent donc l’aider à respecter le règlement, ou encore une obligation d’assurer la sécurité des données qui leur sont confiées.

Le responsable du traitement (l’entreprise qui contracte avec le sous-traitant) n’est donc plus le seul responsable. Le sous-traitant l’est aussi.

Donc avec le RGPD, le responsable de traitement et le sous-traitant pourront être sanctionnés !

 

Q2 Quel impact aura le #RGPD pour le monde associatif ? Des infos précises au sujet de la mise en conformité de ces structures ?

Oui cela concerne les associations comme on l’a vu. Et voici plus concrètement les actions pour la mise en conformité au RGPD pour les associations.

Une petite association qui souhaite refaire son site et qui prévoit de collecter des données devra notamment prévoir des mentions d’information :

  •  informer les personnes de qui est derrière la collecte,
  •  combien de temps seront conservé les fichiers
  •  la finalité des données collectées
  •  et comment les personnes peuvent exercer leurs droits

Pour information, Vous avez même un Générateur de mentions dans les liens dans la description (qui a été fait par la CNIL pour vous aider : https://www.cnil.fr/fr/modeles/mention

Et comme l’association traite des données (un fichier d’adhérents, un fichier RH sur ses salariés…), elle devra :

  • tenir un registre des traitements de ces données.
  • être en mesure de répondre à des sollicitations d’une personne de qui on a récupéré des données à accéder à ces informations (accès, modification et droit suppression)
  • penser à prévoir des clauses sur la protection des données dans le contrat qu’elle passe avec un sous traitant.

 

Q3 Si je ne suis pas une organisation mais que je collecte des données personnel sur mon site je rentre dans le cadre de cette loi?

Cela dépend de la finalité, si c’est pour une activité exclusivement personnelle, le RGPD ne s’applique pas.

Mais si c’est dans le cadre pro et que vous tentez par exemple d’en tirer des revenus comme avec bannières publicitaires, vente de données, partenariats, etc, ça rentre dans le champ du RGPD

Autre cas, si c’est fait dans le cadre pro et même si vous ne retirez aucun bénéfice par exemple en tant que consultant d’une société X, vous donnez des conseils sur un blog pro, le RGPD s’applique

Et pour rappel, dans tous les cas, la protection de la vie privée est un  principe énoncé à l’article 9 du code civil et même dans la Charte des droits fondamentaux de l’UE et ça, ça concerne tout le monde !

 

 

Q4 : Le DPO c’est que pour les grandes entreprises ?

NON!

Toutes les organisations peuvent désigner un délégué. Dans certains cas, désigner un DPO est obligatoire.

Pour rappel, le DPO (Data protection officer) ou Délégué à la protection des données, c’est le « Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme,

Ses missions vont être  :

  • d’informer et de conseiller l’organisation, ainsi que leurs employés ;
  • de contrôler le respect du RGPD ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec la CNIL et d’être son point de contact privilégié

A noter que pour les petites structures (ex: startup où il y a peu personnes), il est évidemment possible de faire appel à un délégué externe, partagé avec plusieurs organismes.

Le DPO est obligatoire pour les cas suivants :

  •  Tous les organismes publics, (ex.une mairie, un ministère)
  •  Les organisations dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées (ex : compagnie d’assurance, banques, publicité ciblée sur internet  exemple). Pas nécessaire pour un fleuriste
  •  Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (ex. un hôpital, une compagnie d’assurance, un site de rencontre).

Plus d’informations sur le DPO : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

 

Q5 : Est-ce qu’il y a un label qui prouve qu’on est conforme au RGPD?

Alors, la CNIL délivre bien des labels qui sont pour l’instant que sur 4 domaines spécifiques. Oui des labels sont prévus pas le RGPD mais ce n’est pas obligatoire pour justifier qu’on est conforme au RGPD.

Pour prouver sa conformité au RGPD, le plus important est de mettre en place un certain nombre d’actions et  prouver par une documentation écrite que vous assurez une protection des données en continu. C’est ce qu’on appelle « l’accountability ». Cela revient donc à montrer comment des actions ont été mises en œuvre et à les rendre vérifiable. On pourrait le traduire en français par l’« obligation de rendre compte ».

Voici un exemple de démarches pour aller vers la conformité au RGPD

On va les séparer en 3 grandes étapes :

Pour commencer :

  • Il faudra mettre des mentions d’information sur vos formulaires. Et j’en ai déjà parlé mais j’insiste encore une fois mais il est très important d’informer de la finalité des différentes données collectées
  • mettre un formulaire de contact pour que les gens qui se souhaitent puissent accéder à l’ensemble des données qui les concernent,
  • Demander dans certains cas l’accord des personnes et leur donner la possibilité de retirer leur accord.
  • assurer, des mesures sécurité des données adaptées à la sensibilité du fichier.

Dans un second temps, il faudra :

  •  Analyser votre SI, vos fichiers et tous les documents qui contiennent des données personnelles.
  •  Vous devrez également élaborer un registre des traitements.
  •   Pensez aussi à revoir les clauses de confidentialité passées avec vos sous-traitants exemple de clause à adapter ici https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
  •  Notifiez à la CNIL les violations de données dont vous êtes victimes

Enfin, si vous traitez, par exemple, des données sensibles ou à risque ou que vous faite du tracking à grande échelle Une analyse d’impact sur la protection des données (PIA) est obligatoire car il y a un risque élevé pour les personnes concernées ! Elle vous permet d’anticiper et traiter les risques pour les droits et libertés des personnes.

 

 

Q6 Est ce que les sanctions touchent aussi les organisations publiques?

Pour rappel les sanctions du RGPD peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.  La somme la plus importante entre les 2 est retenue.

 

Il y a une vrai nécessité pour les collectivités de prendre en compte les exigences car en cas de manquement – et outre des avertissements publics – les CNIL européennes pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros.

Enfin, il estr à noter que l’l’Etat ne peut pas recevoir de sanction financière, contrairement aux collectivités territoriales. Par contre, l’Etat peut quand même être sanctionné (avec des. sanction publiques par exemple)

 

Q7 Quel est le délai raisonnable de réponse d’un site internet pour la demande d’informations sur les données perso renseignées ?  

Délai raccourci pour les droits : meilleurs délais ! Ce qui veut dire 1 mois maximum après réception de la demande.

Prolongation possible de 2 mois mais uniquement si vous en informez la personne et que vous prouvez que la demande est complexe et nécessite un délai supplémentaire

 

Q8 Quid des délais obligatoires et réglementaires de conservation des données (paie, RH, compta, etc… ) vs droit d’effacement RGPD ?

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète et notamment « un registre » sur leurs traitements de données personnelles.

Un registre permet de justement de s’assurer que les différents traitements respectent bien les nouvelles obligations légales et notamment les durées de conservation.

Ce qui implique notamment de fixer des règles strictes pour déterminer :

  • Quelles données qui doivent être supprimées une fois que l’objectif est atteint ?
  • Quelles données qui doivent être conservées au titre d’obligations légales ?

Par exemple une facture doit être conservée 10 ans mais uniquement dans « vos archives intermédiaires ». En clair, les données existent toujours mais ne seront plus accessibles que par le comptable ou le service contentieux de l’entreprise.

 

Dernière partie :  les confusions

Parmi les questions qui ont été posées, j’ai vu qu’il y avait beaucoup de confusions et d’incompréhension, ou d’idées reçues du coup, je vais faire cette dernière partie pour revenir sur ça en disant ce que le RGPD n’est pas.

LE RGPD est un big bang :

RGPD ce n’est pas un big bang, le RGPD n’est pas apparu comme ça du jour au lendemain.

Pour rappel, il existait déjà la loi Informatique et libertés qui date de 1978 qui est une  loi française dont le but est de réglementer le traitement des données personnelles, c’est-à-dire préserver les libertés des personnes dans un contexte d’informatisation croissante de la société.

Depuis 1978, elle a été modifiée à plusieurs reprises pour se conformer aux directives européennes et à l’évolution des usages.

Le Règlement Général sur la Protection des Données (RGPD) vient donc renforcer la loi Informatique et libertés qui fera l’objet d’une adaptation.

RGPD : seulement des solutions techniques ?

RGPD, ce n’est pas une préconisation de solutions techniques d’anonymisation des données, de chiffrements, etc. parce qu’il y avait beaucoup de questions sur le sujet.

Le RGPD c’est un cadre pour définir ce qui est attendu en termes de protection des données personnelles des résidents européens pour que les organisations puisse s’y conformer et être sûr que ce soit le cas à différents niveaux (SI, process, documentation, etc)

En parlant de ça, on voit souvent des outils (logiciel, solution hardware) certifiés RGPD dont l’achat permet  d’être 100 % conforme au RGPD

La conformité au RGPD ne dépend pas d’une solution technique. La conformité s’obtient par un effort soutenu à tous les niveaux, combinant des mesures humaines (comme sensibiliser les utilisateurs), des mesures organisationnelles (prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données, gérer la sous-traitance…) et des mesures techniques (comme authentifier les utilisateurs et gérer les habilitations, sécuriser les postes de travail, sécuriser les échanges avec d’autres organisations).

Et pour avoir un premier guide des chantiers à mener, vous avez le guide de sécurité de la CNIL : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

Enfin, pour terminer ce post, je tiens à remercier la CNIL pour leur aide. Et ça a été un vrai plaisir de collaborer avec eux pour faire cette vidéo.

Liens utiles vers de la documentation rédigée par la CNIL pour vous aider à mieux comprendre le RGPD et se conformer au règlement :

https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

https://www.cnil.fr/fr/modeles/mention

https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

 

 

 

Kubernetes pour les débutants

Kubernetes et les conteneurs

Pour comprendre ce qu’est Kubernetes, il faut d’abord savoir ce qu’est un conteneur :

  • En gros, la virtualisation par conteneur est une méthode de cloisonnement au niveau de l’OS basé sur la technologie de virtualisation Linux LXC, pour Linux Containers.
  • Le principe est de faire tourner des environnements Linux isolés les uns des autres dans des conteneurs tout en se partageant le même noyau Linux, le Kernel donc.

Le conteneur virtualise seulement l’environnement d’exécution (comme le processeur, la mémoire vive ou le système de fichier…) et ne virtualise donc pas la machine entière comme pour une VM (Pas de virtualisation d’OS inviténotamment dans un conteneur par rapport à une VM).

Le conteneur est donc plus léger que la VM, ce qui permet de créer beaucoup plus de conteneurs que de VM sur un même serveur. Docker est un exemple de technologie de virtualisation par container.

A noter que pour le reste de la vidéo, je vais prendre l’exemple des conteneurs Docker pour illustrer les fonctionnalités de kubernetes.

Et justement comme un conteneur est fortement relié au kernel, le conteneur n’a pas “conscience” de ce qui se passe en dehors de ce kernel et de la machine hôte.

Et c’est là que Kubernetes intervient :

  • c’est Kubernetes qui va apporter l’orchestration et la gestion des conteneurs sur des clusters de serveurs
  • Dis autrement, Kubernetes permet ainsi de prendre en charge plusieurs kernel et pouvoir gérer les conteneurs sur ces différents serveur hôtes Linux (qu’ils soient physique ou virtuel d’ailleurs). Ces clusters peuvent couvrir des hôtes situés dans des clouds publics, privés ou hybrides.
Les fonctionnalités de Kubernetes

Les fonctionnalités d’orchestration de Kubernetes vous permettent de :

  • créer des services applicatifs ( que ce soir front end ou backend) et ceci sur plusieurs conteneurs,
  • planifier l’exécution de ces conteneurs dans un cluster,
  • garantir leur intégrité au fil du temps.
  • assurer leur monitoring

Avec Kubernetes, le développeur n’ a plus à s’occuper de la gestion des VM, il à disposition directement son environnement d’exécution (qui est le conteneur) pour y déployer son code, et c’est kubernetes qui s’occupe des couches d’infrastructures sous-jacentes.

Avec Kubernetes, le développeur n’a plu à s’occuper de la partie infrastructure, il n’a pas besoin de savoir où tournent leur applications, l’infra sous-jacente est masquée pour le développeur

Architecture de Kubernetes

Il y a d’abord le Kubernetes Master qui est le serveur contrôlant les nodes : ce sont des noeuds esclaves et ce sont des machines hébergeant les hôtes Docker qui exécutent les tâches qui leur sont assignées. Au sein d’un node tourne un pod. Le pod est un environnement d’exécution d’un ou plusieurs conteneur(s) Docker.

C’est le master qui va dire quel node va faire tourner un pod non ordonnancé en se basant sur la disponibilité des ressources. Le master gère l’utilisation des ressources sur chaque node afin de s’assurer que la charge de travail n’est pas en excès par rapport aux ressources disponibles.

Pour accomplir cet objectif, l’ordonnanceur doit connaître les ressources disponibles et celles actuellement assignées sur les serveurs. Et c’est ces information qui sont apporté par les kubelets. Kubelet est un composant exécuté sur des nœuds et qui s’assure que les conteneurs définis ont démarré et fonctionnent comme comme prévus lors de leur conception. Si un noeud tombe par exemple, c’est Kubelet qui va le signaler au master.

Et c’est le master qui vérifie le nombre de copies identiques demandée d’un pod qui doivent s’exécuter dans le cluster. Le master gère la résilience des pod.

 

Voyons de plus près la notion de  pod :

  • Cet environnement d’exécution peut contenir un ou plusieurs conteneur(s) Docker (on va déployer deux containers sur un même POD s’il est nécessaire de partager des ressources locales).
  • En effet Tous les conteneurs d’un pod partagent une même adresse IP, un même nom d’hôte et les même ports réseau et d’autres ressources.
  • La scalabilité horizontale sera réalisée en instanciant l’application dans de multiples pods,

Un volume c’est un espace de stockage accessible à tous les conteneurs sur un pod.

Il repond à 2 besoins :

  • le premier c’est le besoin de préserver les données au delà du cycle de vie d’un conteneur : les données et fichiers dans un conteneur sont éphémères, donc si des données utilisées par les conteneurs doivent être conservés au dela du cycle de vie d’un contneeur, ces données seront stocké dans le volume.
  • Ensuite, le volume est necessaire pour Le partage des données entre 2 conteneurs : quand plusieurs conteneurs s’exécutent dans un même pod, il est souvent nécessaire de partager les fichiers (et données) entre eux. Et c’est réalisé via le volume.

Passons maintenant à la notion de service :

  • Le « Service » est un point d’entrée permettant un accès « load-balancé » à un groupe de containers identiques, autrement dit c’est une VIP ou Virtual IP.
  • Kubernetes fournit un service de routage en assignant une adresse IP et un nom de domaine à un service, et équilibre la charge du trafic vers les différents pods.
  • Les requêtes de service sont alors transférés par Kubernetes vers un des pods.

 

Fonctionnement de Kubernetes

Kubernetes s’exécute au-dessus de l’OS et interagit avec les pods de conteneurs qui s’exécutent sur les nœuds.

Le master Kubernetes reçoit les commandes de la part d’un administrateur (ou d’une équipe DevOps) et relaie ces instructions aux nodes. Comme on l’a vu tout à l’heure, ce système de transfert fonctionne avec une multitude de services et choisit automatiquement le nœud le plus adapté pour chaque tâche. Il alloue ensuite les ressources aux pods désignés dans ce nœud pour qu’ils effectuent la tâche requise.

Lorsque le Kubernetes master planifie un pod dans un nœud, le kubelet de ce nœud ordonne à Docker de lancer les conteneurs spécifiés. Docker démarre/arrête les conteneurs, comme d’habitude.

Le kubelet collecte ensuite en continu le statut de ces conteneurs via Docker et rassemble ces informations sur le serveur master.

On voit donc qu’avec Kubernetes, les ordres proviennent d’un système automatisé et non plus d’un administrateur qui assigne manuellement des tâches à tous les nœuds pour chaque conteneur.

L’Open Data, c’est quoi ?

L’open data est l’ouverture au grand public, via le web, de données collectées par des organismes publics ou des entreprises. et dont la diffusion est considéré comme d’intérêt général.

Bon, rassurez-vous,  je vais vous expliquer ça un peu plus en détails

Voici quelques exemples de données ouvertes :

  • Les horaires de passages du métro en temps réel et les incidents sur les lignes
  • Les données environnementales comme les prévisions météorologiques),
  • Les informations comme la base des prix du carburant, etc

Evidemment, il y a des conditions à respecter pour la mise à disposition de ces données.

Une donnée dite ouverte doit être :

  • complète, primaire et libre de droits,
  • accessible publiquement, gratuitement, et sans condition discriminatoire,
  • proposée dans un format exploitable et non propriétaire.

Voici un exemple de portail open data publique : http://opendata.paris.fr

Il s’agit du portail de données publiques de la ville de Paris. Il permet d’avoir par exemple la disponibilité en temps réel des autolib et des velib, la liste des sites municipaux équipés d’un point d’accès WiFi, etc.

Pourquoi l’Open data?

Les objectifs sont multiples :

  • Améliorer la transparence des données publiques : et donc contribuer à la transparence l’État en rendant publiques des données relatives aux dépenses de l’administration,
  • Et de ce fait Renforcer l’efficacité de l’action publique et la qualité du service public
  • Ensuite, l’open data permet de favoriser la croissance de l’économie numérique et l’Innovation notamment en encourageant la réutilisation de ces données ouvertes et leur monétisation via la création de services innovants pour les citoyens notamment via des applications web et mobiles.

Et pour illustrer ça, on peut prendre l’exemple de Datacity qui est un programme mis en place par la ville de Paris et l’incubateur NUMA. Ce programme réunit des acteurs industriels, startups, et autorités locales. L’objectif est de trouver des solutions innovantes  via les données de l’Open Data et de la ville de Paris pour améliorer la qualité de vie des citoyens, tout ça en traitant notamment problématiques lié à l’environnement urbain comme l’énergie, la gestion des déchets, la logistique, ou la mobilité

IDS et IDS : comprendre l’essentiel

Dans cette vidéo, je vais vous expliquer ce qu’est un IDS et un IPS. Qu’est ce qu’un IDS? Qu’est ce qu’un IPS? Quels sont leurs rôles, leurs points communs et leurs différences ?

Intrusion Detection System

IDS pour Intrusion Detection System veut dire système de détection d’intrusion en français. Il s’agit d’un mécanisme qui a pour objectif de re pérer tout type de trafic potentiellement malveillant (par exemple les tentatives d’intrusion, attaques virales, débits trop importants et trafic sortant de l’ordinaire).

Pour résumer, un IDS va détecter une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, l’IDS lance une alerte. Et l’IDS remplit cet objectif en surveillant les activités d’une cible (qui peut être un réseau ou des machines hôtes).

En fonction de la cible on aura 2 types d’IDS différents :

  • le premier est le Network IDS ou l’IDS réseau
  • Les NIDS (Network Intrusion Detection System), surveillent l’état de la sécurité du du réseau.
Network IDS

Le NIDS est situé sur un réseau isolé et ne voit qu’une copie du trafic. Et quand je dis trafic je parle des paquets qui circulent sur le réseau. Et en cas, de détection d’une menace, le NIDS peut lever des alertes et ordonner les actions pour le blocage d’un flux

En terme d’architecture,  Le NIDS est situé sur un réseau isolé et analyse une copie du trafic du réseau à surveiller, entre ses points d’entrées et les terminaux du réseau. A noter qu’Il est entièrement passif et n’est pas capable de dialoguer avec le réseau surveillé.

Host IDS

Il y a ensuite les Host IDS ou  IDS système. Les HIDS (Host Intrusion Detection System), surveillent l’état de la sécurité des hôtes selon différents critères :

  • Activité de la machine (comme par exemple le nombre et listes de processus, le nombre d’utilisateurs, ressources consommées, etc.)
  • Le second critère de surveillance est l’Activité de l’utilisateur sur la machine : horaires et durée des connexions, commandes utilisées, programmes activés, etc
  • Et évidemment le HIDS analyse toute Activité potentielle liée à l’activité d’un ver, d’un virus ou cheval de Troie

En terme d’architecture, le HIDS master récupère les informations remontées par une machine sur laquelle un client HIDS est installé. Ensuite, le HIDS master va analyser ces informations sur le fonctionnement et l’état des machines  afin de détecter les menaces.

Intrusion Prevention System

Passons maintenant à l’IPS. L’IPS (pour Intrusion Prevention System) veut dire système de prévention d’intrusion en français.

Il est situé en coupure, c’est à dire qu’il n’analyse pas une copie des données comme l’IDS, mais va analyser les données elles-mêmes. Ce qui veut dire que Les données réelles passent à travers l’IPS. L’IPS va réagir en temps réel en stoppant le trafic suspect qu’il reconnaît, notamment en bloquant les ports.

Comme l’IDS, il existe 2 principaux types d’IPS

Network Intrusion Prevention System

Les NIPS (network intrusion prevention system) sont des IPS permettant de surveiller le trafic réseau.

Le NIPS analyse le trafic réseau en s’appuyant sur une base de données de signatures d’attaque (comme un anti virus) et dès qu’il reconnait une signature, il en déduit que c’est une attaque.

Dans ce cas il peut prendre des mesures pour bloquer l’attaque avant qu’elle n’ait commencé en bloquant le flux malveillant.

Host Intrusion Prevention System

Les HIPS (host intrusion prevention system) sont des IPS permettant de suivre l’état de sécurité des machines hôtes. Le HIPS réalise cela à travers la surveillance des différentes éléments de la machine : les processus, les drivers, les .dll etc.

En cas de détection d’un processus suspect, le HIPS peut le stopper pour mettre fin à l’attaque.

Il y a deux inconvénients majeurs concernant les IPS :

  • Comme les IDS, les IPS ne sont pas fiables à 100 % mais la le principal risque c’est de bloquer du trafic légitime en cas d’erreur d’analyse
  • Le deuxième inconvénient de l’IPS est que, il est donc vulnérable et attaquable puisqu’il est en coupure sur le réseau.

Un flux malveillant peut exploiter une faille afin de prendre le contrôle sur l’IPS et désactiver ses fonctions de sécurité, et même pour éventuellement s’en servir pour mener de nouvelles attaques

Firewall et IPS réseau

Dernière chose parce qu’il y a beaucoup de confusion dessus, c’est la différence entre un firewall et un IPS réseau

Le rôle d’un IPS reseau est de détecter des attaques sur un réseau à partir d’une base de données de signatures d’attaque (comme un anti virus) et de les bloquer si nécessaire.

Le rôle d’un firewall est différent puisque son but est de faire du filtrage d’accès en définissant les communications autorisés ou interdites.

Par exemple :

  • Les accès sortant directes en HTTP vers l’extérieur du réseau sont interdits et ces flux doivent donc passer par le proxy de l’entreprise avant d’aller vers l’exterieur.
  • Ou alors Les accès entrants en tel protocol applicatif sont interdits sauf s’ils proviennent de cette machine externe spécifique à destination de cette machine interne spécifique, etc.

Mais c’est vrai que certains firewalls embarque des fonctions IPS avec eux d’où les confusions. Ce sont des fonctions complémentaires

D’ailleurs sachez que j’ai fait une vidéo dédiée sur les firewalls si vous voulez en savoir plus!

Cybersécurité : La négligence de Trump critiquée

Trump, dessin, caricature, cybersécurité, firewall

 

7 membres sur les 27 du NIAC (National Infrastructure Advisory Council), en charge de conseiller Donald Trump sur les questions de cybersécurité, ont donnés leur démission dans une lettre commune. Ils ont dénoncés notamment la négligence et l’indifférence de Trump pour la sécurité informatique des Etats-Unis.

Source : Le Monde

Remarque : si vous ne savez pas ce qu’est un firewall, je vous invite à regarder cette vidéo