Squence III

La notion de scurit des systmes dinformation

Section 1 : Gnralits sur la Scurit des systmes d'information
A. Dfinition et contenu du systme dinformation
B. La scurit des systmes dinformation
Section 2. Les enjeux de la scurit des systmes d'information
A. Les enjeux matriser
B. Les menaces, attaques et potentiels dommages dun systme dinformation

Objectifs
! Connaitre la notion de systme dinformation et de scurit dun systme
! Connaitre les menaces, attaques et dommages pouvant affecter le SI

Introduction

Les systmes dinformation font dsormais partie intgrante du fonctionnement des administrations
publiques, de lactivit des entreprises et du mode de vie des citoyens. Les services quils assurent
nous sont tout aussi indispensables que lapprovisionnement en eau ou en lectricit. Cest dire si la
scurit des systmes dinformation (SSI) est un enjeu national voire international.
Pour ltat il sagit dun enjeu de souverainet nationale. Il a, en effet, la responsabilit de garantir la
scurit de ses propres systmes dinformation, la continuit de fonctionnement des institutions et des
infrastructures vitales pour les activits socio-conomiques du pays et la protection des entreprises et
des citoyens.
De leur ct, les entreprises doivent protger de la concurrence et de la malveillance leur systme
dinformation qui irrigue lensemble de leur patrimoine (proprit intellectuelle et savoir-faire) et porte
leur stratgie de dveloppement. La scurit des systmes dinformation est donc un vritable dfi, la
fois technologique et conomique.
Lenvironnement li aux technologies de linformation et de la communication est la cible de
nombreuses menaces. Tous les utilisateurs identifient au quotidien la menace constante des virus et
des vers qui submergent Internet. Leur nombre a explos au cours de ces dernires annes et ceux-ci
deviennent de plus en plus sophistiqus. Les outils ncessaires aux pirates sont aisment accessibles
en ligne et il existe un change constant dinformation et de savoir-faire au sein de la communaut des
pirates pour rendre ces attaques de plus en plus efficaces. Cependant, leur dsir de performance cde
de plus en plus le pas au dveloppement dentreprises criminelles dont les activits en ligne se sont
accrues paralllement la dimension conomique dInternet. Le nombre de fraudes se traduit chaque
anne par des cots slevant des milliards deuros, en particulier pour les banques et les entreprises.
Louverture des rseaux et leur complexit croissante associant des acteurs aux multiples profils, ont
renforc la vulnrabilit des systmes dinformation. Dtruire, altrer, accder des donnes sensibles
dans le but de les modifier ou de nuire au bon fonctionnement des rseaux : les motivations sont
diverses et fonction de la nature des informations recherches et de lorganisme vis. Quelles formes
prennent les attaques ? De qui manent-elles ? Quelle est leur finalit ? il sagira pour nous denvisager
les gnralits sur la scurit des systmes dinformation (SSI) (section 1) et les enjeux de la SSI
(section 2)
Section 1 : Gnralits sur la Scurit des systmes d'information (SSI)
Parler de la SSI ncessite que soit pralablement dfinie les notions qui la constituent : systme
dinformation et SSI.
A. Dfinition et contenu du systme dinformation
On entend par systme dinformation (SI) un ensemble de machines connectes entre elles de
faon permanente ou temporaire permettant une communaut de personnes physiques ou morales
dchanger des donnes (sons, images, textes, etc.). Selon cette dfinition, des systmes aussi varis
que le rseau dun oprateur de tlphonie, le site Internet dun ministre, lordinateur individuel du
particulier ou le rseau de commandement des forces armes sont des systmes dinformation.
De fait, la base de tout fonctionnement dentreprise, il y a des informations utilises par une ou
plusieurs personnes. Pour traiter, stocker et transmettre ces informations, les collaborateurs utilisent
des outils (informatiques ou pas) et agissent selon des procdures dutilisation (envoyer un email, crer
ou archiver un document ). Cet ensemble organis de moyens techniques, administratifs, et humains
permettant de grer linformation dans lentreprise sappelle un systme dinformation (SI).
La notion de systme d'information renvoie donc aux moyens dont le fonctionnement fait appel, d'une
faon ou d'une autre, l'lectricit et (qui sont) destins laborer, traiter, stocker, acheminer ou
prsenter l'information.
Chaque organisation dtient des informations sensibles pour son fonctionnement et sa prennit. Si
celles-ci tombaient entre les mains de tierces personnes le potentiel de lentreprise pourrait sen trouver
amoindrit. Ces informations peuvent tre : les travaux dinnovation, le savoir-faire technologique, le
contenu doffres commerciales, la structure des comptes financiers, les fichiers clients, les projets de
dveloppement, le fonctionnement de lentreprise). Ces pourquoi les informations les plus sensibles
doivent faire lobjet de procdures renforces de protection.
Le systme dinformation comprend ncessairement cet effet :
- le ou les serveurs rseau et des postes de travail informatique (fixes et nomades) ;
- les applications (systmes dexploitation, suites bureautiques, logiciels mtiers ) ;
- les infrastructures de communication et de tlcommunication (rseaux locaux, liaisons intersites,
rseau tlphonique, accs Internet, liaison radio ).
B. La scurit des systmes dinformation
La comprhension du concept de SSI ncessite quil soit dfini et que les critres de cette scurit
soient prciss.
1. Dfinition de la SSI
La scurit des systmes dinformation (SSI) est lensemble des moyens techniques, organisationnels,
juridiques et humains ncessaire et mis en place pour conserver, rtablir, et garantir la scurit du
systme d'information. Assurer la scurit du systme d'information est une activit du management du
systme d'information.
Selon une Directive gouvernementale 4201/SG du 13 avril 1995 Scurit des systmes d'information
(France) ; la scurit de l'information doit tre un souci gnral, tandis que celle des systmes
d'information est une obligation nationale majeure, sous rserve de ne pas porter atteinte la
scurit de l'Etat ni l'ordre public. Elle prsente notamment les objectifs en la matire, les moyens
mettre en uvre et l'organisation mise en place ces fins.
2. Les critres de scurit
La scurit peut s'valuer suivant plusieurs critres :
Disponibilit : garantie que ces lments considrs sont accessibles au moment voulu par les
personnes autorises.
Intgrit : garantie que les lments considrs sont exacts et complets.
Confidentialit : garantie que seules les personnes autorises ont accs aux lments considrs.
D'autres aspects peuvent ventuellement tre considrs comme des critres (bien qu'il s'agisse en fait
de fonctions de scurit), tels que :
Traabilit (ou Preuve ) : garantie que les accs et tentatives d'accs aux lments considrs
sont tracs et que ces traces sont conserves et exploitables.
Une fois les lments sensibles dtermins, les risques sur chacun de ces lments peuvent tre
estims en fonction des menaces qui psent sur les lments protger. Il faut pour cela estimer :
la gravit des impacts au cas o les risques se raliseraient ; la vraisemblance des risques (ou leur
potentialit, ou encore leur probabilit d'occurrence).
Section 2. Les enjeux de la scurit des systmes d'information
Avec le dveloppement du travail distance et des nouvelles technologies le risque sur le systme
dinformation, sest accru. Deux principales situations sont la base des atteintes au systme
dinformation : ce sont les maladresses internes, (volontaires ou non) ou labsence de sauvegardes
fiables qui sont lorigine de la perte ou de la destruction dinformations sensibles ; les actes externes
mal intentionns.
L'entreprise doit de ce fait concilier la ncessit de communiquer des informations et de prserver
certaines dentre elles en mettant en place une politique de scurit de son systme dinformation (SSI).
Pour tre efficace, cette politique de scurisation du systme dinformation doit sappuyer sur la mise en
place de moyens techniques mais son efficacit reposera galement fortement sur l'organisation du
processus dans lentreprise et sur les comportements individuels.
Par ailleurs, la scurit des systmes dinformation reprsente galement un avantage concurrentiel car
elle offre la garantie aux clients et partenaires que les informations confidentielles, confies
lentreprise (cahiers des charges, plans), sont protges.
Jean Franois PILLOU pense cet effet que Le systme d'information reprsente un patrimoine
essentiel de lorganisation, qu'il convient de protger. La scurit informatique consiste garantir que
les ressources matrielles ou logicielles d'une organisation sont uniquement utilises dans le cadre
prvu.
A. Les dfis majeurs de la SSI
Pour assurer la scurit du SI, il est ncessaire que les aspects suivants soient matriss par les
organisations.
1. L'intgrit : Les donnes doivent tre celles que l'on s'attend ce qu'elles soient, et ne doivent
pas tre altres de faon fortuite ou volontaire.
2. La confidentialit : seules les personnes autorises ont accs aux informations qui leur sont
destines. Tout accs indsirable doit tre empch.
3. La disponibilit : Le systme doit fonctionner sans faille durant les plages d'utilisation prvues,
garantir l'accs aux services et ressources installes avec le temps de rponse attendu.
4. La non-rpudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les oprations
qu'il a ralises dans le cadre de ses actions autorises, et aucun tiers ne doit pouvoir
s'attribuer les actions d'un autre utilisateur.
5. L'authentification : L'identification des utilisateurs est fondamentale pour grer les accs aux
espaces de travail pertinents et maintenir la confiance dans les relations d'change.
La scurit informatique est un dfi d'ensemble qui concerne une chaine d'lments : Les
infrastructures matrielles de traitement ou de communication, les logiciels (systmes d'exploitation ou
applicatifs), les donnes, le comportement des utilisateurs. Le niveau global de scurit tant dfini par
le niveau de scurit du maillon le plus faible, les prcautions et contre-mesures doivent tre
envisages en fonction des vulnrabilits propres au contexte auquel le systme d'information est
cens apporter service et appui.
B. Les menaces, attaques et potentiels dommages dun systme dinformation
1. Les Menaces
Les principales menaces auxquelles un systme dinformation peut tre confront sont :
a. Un utilisateur du systme : l'norme majorit des problmes lis la scurit d'un systme
d'information a pour origine un utilisateur, gnralement insouciant. Il n'a pas le dsir de porter
atteinte l'intgrit du systme sur lequel il travaille, mais son comportement favorise le
danger ;
b. Une personne malveillante : une personne parvient s'introduire sur le systme, lgitimement
ou non, et accder ensuite des donnes ou des programmes auxquels elle n'est pas
cense avoir accs. Le cas frquent est de passer par des logiciels utiliss au sein du systme,
mais mal scuriss;
c. Un programme malveillant : un logiciel destin nuire ou abuser des ressources du
systme est install (par mgarde ou par malveillance) sur le systme, ouvrant la porte des
intrusions ou modifiant les donnes ; des donnes confidentielles peuvent tre collectes
l'insu de l'utilisateur et tre rutilises des fins malveillantes ;
d. Un sinistre (vol, incendie, dgt des eaux) : une mauvaise manipulation ou une malveillance
entranant une perte de matriel et/ou de donnes.
2. Les attaques
Ces attaques sont nombreuses et varies. Nous pouvons citer :
a. La destruction de matriels ou de supports travers le sabotage
Ce sabotage vise la mise hors service d'un SI ou de l'une de ses composantes en portant atteinte
l'intgrit des donnes et surtout la disponibilit des services.
b. Les rayonnements lectromagntiques pour brouiller
Ce brouillage est une attaque de haut niveau qui vise rendre le SI inoprant.
c. Lcoute passive
Elle consiste tout dabord se placer sur un rseau informatique ou de tlcommunication pour
collecter et analyser les informations ou les trames qui y circulent. Ensuite il y a Interception de signaux
compromettants : Ici, l'attaquant tente de rcuprer un signal lectromagntique pour l'interprter et en
dduire des informations utilisables. Enfin il ya Cryptanalyse : L'attaque de donnes cryptes est
ralise par interception et analyse des cryptogrammes circulant lors d'une communication ou obtenus
par une source quelconque.
e. Le vol
Ce vol peut seffectuer de plusieurs faons :
Fraude physique : elle consiste accder l'information par copie illgale des supports physiques
(bandes magntiques, disquettes, disques classiques ou optiques, listings rangs ou abandonns
imprudemment dans les bureaux, armoires, tiroirs ...)
Vol de matriels : concerne les ordinateurs et en particulier les ordinateurs portables.
Analyse de supports recycls ou mis au rebut : "fouille" des poubelles ou des archives d'une
organisation ou dtournement des processus de maintenance.
f. La divulgation
Hameonnage ou filoutage (Phishing) : dsigne l'obtention d'information confidentielle (comme des
codes d'accs ou des mots de passe) en prtextant une fausse demande ou en faisant miroiter un
pseudo-avantage auprs d'un utilisateur cibl.
Chantage : menace exerce vis--vis d'une personne prive ou d'une organisation en vue d'extorquer
une information "sensible".
g. mission d'une information sans garantie d'origine
Canular (Hoax) : Vise dsinformer en annonant l'arrive d'un vnement de nature imaginaire mais
cens tre fortement perturbateur voire catastrophique (virus)
h. Pigeage du logiciel
Bombe : Programme dormant dont l'excution est conditionn par l'occurrence d'un vnement ou
d'une date.
Virus : Programme malicieux capable de faire fonctionner des actions nuisibles pour le SI, et
ventuellement de se rpandre par rplication l'intrieur d'un SI. Les consquences sont le plus
souvent la perte d'intgrit des donnes d'un SI, la dgradation voire l'interruption du service fourni.
Ver : Programme malicieux qui a la facult de se dplacer travers un rseau qu'il cherche perturber
en le rendant totalement ou partiellement indisponible.
Pigeage du logiciel : Des fonctions caches sont introduites l'insu des utilisateurs l'occasion de la
conception, fabrication, transport ou maintenance du SI.
Exploitation d'un dfaut (bug) : Les logiciels - en particulier les logiciels standards les plus rpandus-
comportent des failles de scurit qui constituent autant d'opportunit d'intrusion indsirables.
Canal cach : Type d'attaque de trs haut niveau permettant de faire fuir des informations en violant la
politique de scurit du SI. Les menaces peuvent concerner 4 types de canaux cachs : Canaux de
stockage, Canaux temporels, Canaux de raisonnement, Canaux dits de "fabrication".
Cheval de Troie : C'est un programme ou un fichier introduit dans un SI et comportant une
fonctionnalit cache connue seulement de l'agresseur. L'utilisation d'un tel programme par l'utilisateur
courant permet l'attaquant de contourner les contrles de scurit en se faisant passer pour un
utilisateur interne.
Rseau de robots logiciels (Botnet) : rseau de robots logiciels installs sur des machines aussi
nombreuses que possible. Les robots se connectent sur des serveurs IRC (Internet Relay chat) au
travers desquels ils peuvent recevoir des instructions de mise en uvre de fonctions non dsires.
(Envoi de spams, vol d'information, participation des attaques de saturation ...)
Logiciel espion (spyware): est install sur une machine dans le but de collecter et de transmettre un
tiers des informations sans que l'utilisateur en ait connaissance.
Facticiel: logiciel factice disposant de fonctions caches.
i. Saturation du Systme informatique
Perturbation : Vise fausser le comportement du SI ou l'empcher de fonctionner comme prvu
(saturation, dgradation du temps de rponse, gnration d'erreurs).
Saturation : Attaque contre la disponibilit visant provoquer un dni de service (remplissage forc
d'une zone de stockage ou d'un canal de communication).
Pourriel (spam) : Envoi massif d'un message non sollicit vers des utilisateurs n'ayant pas demand
recevoir cette information. Cet usage - non forcment hostile- contribue cependant la pollution et la
saturation des systmes de messagerie.
j. Utilisation illicite des matriels
Dtournement d'utilisation normale : Utilise un dfaut d'implantation ou de programmation de
manire faire excuter distance par la machine victime un code non dsir, voire malveillant.
Fouille : En cas de mauvaise gestion des protections informatiques, celles-ci peuvent tre contournes
et laisser accder aux fichiers de donnes par des visiteurs non autoriss.
Mystification : Simulation du comportement d'une machine pour tromper un utilisateur lgitime et
s'emparer de son nom et mot de passe
Trappe : Fonctionnalit utilise par les dveloppeurs pour faciliter la mise au point de leurs
programmes. Lorsqu'elle n'est pas enleve avant la mise en service du logiciel, elle peut tre repre et
servir de point de contournement des mesures de scurit.
Asynchronisme : Ce mode de fonctionnement cre des files d'attente et des sauvegardes de l'tat du
systme. Ces lments peuvent tre dtects et modifis pour contourner les mesures de scurit.
Souterrain : Attaque cible sur un lment supportant la protection du SI et exploitant une vulnrabilit
existant un niveau plus bas que celui utilis par le dveloppeur pour concevoir/tester sa protection.
Salami : Comportement d'un attaquant qui collecte des informations de manire parcellaire et
imperceptible, afin de les synthtiser par la suite en vue d'une action rapide. (Mthode frquemment
utilise pour les dtournements de fonds).
Infrence sur les donnes : L'tablissement d'un lien entre un ensemble de donnes non sensibles
peut permettre dans certains cas de dduire quelles sont les donnes sensibles.
k. Altration des donnes
Interception : C'est un accs avec modification des informations transmises sur les voies de
communication avec l'intention de dtruire les messages, de les modifier, d'insrer des nouveaux
messages, de provoquer un dcalage dans le temps ou la rupture dans la diffusion des messages.
Balayage (scanning): La technique consiste envoyer au SI des informations afin de dtecter celles
qui provoquent une rponse positive. Par suite l'attaquant peut analyser les rponses reues pour en
dgager des informations utiles voire confidentielles ( nom des utilisateurs et profil d'accs )
l. Abus de Droit
Abus de droit : caractrise le comportement d'un utilisateur bnficiaire de privilges systmes et/ou
applicatifs qui les utilise pour des usages excessifs, pouvant conduire la malveillance.
m. Usurpation de Droit
Accs illgitimes : Lorsqu'une personne se fait passer occasionnellement pour une autre en usurpant
son identit
Dguisement : Dsigne le fait qu'une personne se fait passer pour une autre de faon durable et
rpte en usurpant son identit, ses privilges ou les droits d'une personne vise.
Rejeu : Variante du dguisement qui permet un attaquant de pntrer un SI en envoyant une
squence de connexion d'un utilisateur lgitime et enregistre son insu.
Substitution : Sur des rseaux comportant des terminaux distants, l'interception des messages de
connexion-dconnexion peut permettre un attaquant de continuer une session rgulirement ouverte
sans que le systme ne remarque le changement d'utilisateur.
Faufilement : Cas particulier o une personne non autorise franchit un contrle d'accs en mme
temps qu'une personne autorise.
n. Reniement d'actions
Le reniement (ou rpudiation) consiste pour une partie prenante une transaction lectronique nier
sa participation tout ou partie de l'change d'informations, ou prtendre avoir reu des informations
diffrentes (message ou document) de ceux rputs avoir t raliss dans le cadre du SI.
3. Les dommages
Deux types de dommages peuvent affecter le systme d'information d'une organisation: les dommages
financiers, la perte de crdibilit travers la chute ou la perte de limage de marque.
a. Les dommages financiers
Sous forme de dommages directs (comme le fait d'avoir reconstituer des bases de donnes qui ont
disparu, reconfigurer un parc de postes informatiques, rcrire une application) ou indirects (par
exemple, le ddommagement des victimes d'un piratage, le vol d'un secret de fabrication ou la perte de
marchs commerciaux). Un exemple concret : bien qu'il soit relativement difficile de les estimer, des
sommes de l'ordre de plusieurs milliards de dollars US ont t avances suite des dommages causs
par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme
ceux lis au vol de numros de cartes de crdit, ont t dtermins plus prcisment.
b. La perte ou la baisse de l'image de marque
Perte directe par la publicit ngative faite autour d'une scurit insuffisante (cas du hameonnage par
exemple) ou perte indirecte par la baisse de confiance du public dans une socit. Par exemple, les
techniques rpandues de defacing (une refonte d'un site web) permettent une personne mal
intentionne de mettre en vidence des failles de scurit sur un serveur web. Ces personnes peuvent
aussi profiter de ces vulnrabilits pour diffuser de fausses informations sur son propritaire (on parle
alors de dsinformation).
Les consquences peuvent aussi concerner la vie prive d'une ou plusieurs personnes, notamment par
la diffusion d'informations confidentielles comme ses coordonnes bancaires, sa situation patrimoniale,
ses codes confidentiels. De manire gnrale, la prservation des donnes relatives aux personnes fait
l'objet d'obligations lgales rgies par la Loi Informatique et Liberts.
Pour parer ces ventualits, les responsables de systmes d'information se proccupent depuis
longtemps de scuriser les donnes. Le cas le plus rpandu, et sans aucun doute prcurseur en
matire de scurit de l'information, reste la scurisation de l'information stratgique et militaire : Le
Department of Defense (DoD) des tats-Unis est l'origine du TCSEC, ouvrage de rfrence en la
matire. De mme, le principe de scurit multi-niveau trouve ses origines dans les recherches de
rsolution des problmes de scurit de l'information militaire.
Aujourd'hui, l'hypothse raliste demeure que la scurit ne peut tre garantie 100 % et requiert le
plus souvent la mobilisation d'une panoplie de mesures y compris celle des leurres reposant sur
l'ide qu'interdire ou en tout cas protger l'accs une donne peut consister fournir volontairement
une information calibre et visible servant de paravent l'information sensible
Rfrences bibliographiques
PILLOU Jean-Franois, Tout sur les systmes d'information, Paris Dunod 2006, Collect
Commentcamarche.net
REIX R. Systme dinformation et management des organisations, Vuibert, 4me dition, Paris,
2002.
TRAN Pierre, Thales Combines Cybersecurity Efforts, Defense News, le 1
er
juillet 2011.
De COURCY R., Les systmes d'information en radaptation, Qubec, Rseau international CIDIH et
facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10
BAKOS Y., Information technology and corporate strategy, MIS Quaterly, n2, 1986
CYERT R.M., March James., Processus de dcision dans lentreprise , Dunod, 1970
KARSENTI G., La fin du paradoxe de l'informatique, ditions d'Organisation, Paris, 1999
HABERMAS J., Thorie de lagir communicationnel, Fayard, Paris, 1987
SHANNON C., WEAVER W., The Mathematical theory of communication, The university of Illinois
Press, 1949
ROWE F., ZITI A., Cognition individuelle et systmes dinformation , Systmes dinformation et
Management, vol5, n 4, 2002.
http://fr.wikipedia.org/