Scurit des systmes d'information

Philippe Latu

philippe.latu(at)inetdoc.net
http://www.inetdoc.net
Rsum

Syllabus du cours sur le thme Scurit des systmes d'information dispens en seconde anne de Master (M2) de la lire
Systmes de Tlcommunications et Rseaux Informatiques (STRI) l'Universit Toulouse III - Paul Sabatier.

Table des matires

1. Copyright et Licence .................................................................................................................................
1.1. Mta-information ...........................................................................................................................
2. Volume horaire, mthode pdagogique et projet .............................................................................................
3. Scnario d'entreprise type : Candide S.A. .......................................................................................................
4. Architecture du systme d'information .........................................................................................................
5. Echancier des sances ..............................................................................................................................
6. valuation ...............................................................................................................................................
7. Documents de rfrence ............................................................................................................................

1
1
1
2
2
3
4
5

1.Copyright et Licence
Copyright (c) 2000,2015 Philippe Latu.
Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.3 or any later version
published by the Free Software Foundation; with no Invariant Sections, no
Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included
in the section entitled "GNU Free Documentation License".
Copyright (c) 2000,2015 Philippe Latu.
Permission est accorde de copier, distribuer et/ou modifier ce document selon
les termes de la Licence de Documentation Libre GNU (GNU Free Documentation
License), version 1.3 ou toute version ultrieure publie par la Free Software
Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture,
et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence est
incluse dans la section intitule Licence de Documentation Libre GNU .

1.1.Mta-information
Cet article est crit avec DocBook1 XML sur un systme Debian GNU/Linux2. Il est disponible en version imprimable au format
PDF : security.pdf3.

2.Volume horaire, mthode pdagogique et projet

Il est possible d'aborder l'enseignement sur la scurit des systmes d'information suivant plusieurs axes pdagogiques.
Dans le cas prsent, l'objectif gnral est de faire dcouvrir l'importance des processus de scurit partir d'illustrations
pratiques.
Il est bien entendu que ce choix ne prtend nullement tre la bonne mthode pdagogique. Il est cependant compltement
ridicule d'enfermer les choix pdagogiques dans une opposition articielle entre un enseignement acadmique qui introduit
le vocabulaire et les mthodologies sans aucune application et un enseignement cantonn dans la technique qui ne propose
aucune prise de recul.
Ce cours est un module construit sur 10 sances de 3 heures et une sance d'valuation de 3 heures. Les 7 sances sont
rparties de la faon suivante :
3 sances de cours avec la promotion complte.
7 sances de travaux pratiques en groupe.
la suite de la premire sance de prsentation, les tudiants sont rpartis en 3 groupes pour travailler sur un projet. Ce
projet consiste tudier et dployer une maquette d'infrastructure d'entreprise suivant un scnario type.
Les objectifs pdagogiques sont multiples :
crer une mulation entre les groupes d'tudiants en opposant les rles de chaque groupe,
1
2
3

http://www.docbook.org
http://www.debian.org
http://www.inetdoc.net/pdf/security.pdf

Scurit des systmes d'information

Scurit des systmes d'information

valuer l'importance des relations humaines, de la coordination et mme de l'ingnierie sociale dans la scurit des
systmes d'information en imposant une taille de groupe importante,
illustrer les problmatiques des mtiers de la scurit des systmes d'information partir du scnario d'entreprise type.
Les groupes sont dnis comme suit :
Groupe dfense
Ce groupe est charg de mettre en place l'infrastructure des services du scnario d'entreprise. Il doit rechercher les
moyens les plus simples possibles pour se dfendre contre les tentatives d'intrusion et de compromission entreprises
par le groupe attaque.
Du point de vue mtier, les membres de ce groupe jouent le rle d'exploitants des services. Comme les services peuvent
tre externaliss ou non, les membres peuvent tre employs aussi bien chez un prestataire assurant l'externalisation
qu'au sein mme de l'entreprise o l'exploitation est directement assure.
Groupe analyse
Ce groupe est charg de collecter un maximum d'informations et de les analyser pour identier les actions entreprises
aussi bien en dfense qu'en attaque.
Du point de vue mtier, les membres de ce groupe jouent le rle de consultants scurit chargs de raliser des audits.
Au dbut du projet, ils sont tranger la structure de l'entreprise. Par la suite, ils ne disposent que des informations et/
ou des accs que leur fournissent les membres du groupe dfense.
Groupe attaque
Ce groupe est charg de rechercher toutes les possibilits d'intrusion et de compromission les plus efcaces et les plus
faciles mettre en uvre.
Du point de vue mtier, les membres de ce groupe jouent le rle de consultants scurit chargs d'valuer la solidit du
systme d'information dfendu. Ils sont totalement tranger la structure de l'entreprise. Les 2 autres groupes ne sont
pas senss leur communiquer la moindre information. Bien entendu, les membres du groupe attaque ne doivent pas
se limiter aux moyens techniques pour collecter leurs informations.
Chaque groupe met en place une dmarche de planication et de coordination des activits suivant les axes dnis avec
l'enseignant. Chaque groupe est libre de choisir les outils de gestion des activits. Tous les comptes rendus de tests ou les
synthses hebdomadaires doivent tre centraliss et accessibles avant les sances encadres. L'objectif pdagogique est de
modliser le fonctionnement d'un travail d'quipe dont les membres ne sont pas forcment sur le mme lieu. Compte tenu
de la taille de chaque groupe, la qualit de la coordination est primordiale pour l'avancement du projet.

3.Scnario d'entreprise type : Candide S.A.

L'activit des groupes dnis ci-avant gravite autour du systme d'information d'une entreprise totalement ctive mais dont
les besoins sont reprsentatifs de ceux que l'on rencontre habituellement.
Supposons donc que les groupes vont travailler pour ou contre une agence baptise Candide S.A.. Cette agence vient d'obtenir
un gros contrat de services pour un trs grand groupe industriel aronautique. Ce grand groupe industriel est un acteur
majeur dans un contexte de concurrence mondiale exacerbe. Il fait donc l'objet d'actions d'intelligence conomique tous
azimuts. La chane des sous-traitants de ce grand groupe industriel constitue un axe de travail intressant en matire
d'intelligence conomique pour collecter des informations forte valeur ajoute.
Notre agence Candide S.A., venant d'entrer dans cette chane de sous-traitance avec un contrat important, fait l'objet de
beaucoup d'attention. Sa crdibilit, voire mme sa survie conomique, dpend de la qualit de la scurit de son systme
d'information. Le rle du groupe d'tudiants dfense est de garantir cette crdibilit.
Compte tenu des enjeux, notre grand groupe industriel aronautique, ne peut se contenter des engagements contractuels
pris avec Candide S.A.. Aussi, il demande quelques consultants indpendants (le groupe analyse) d'observer au plus prs
les ux du systme d'information du sous-traitant. Il s'agit de s'assurer que l'quipe en charge du systme d'information est
mme de remplir les engagements pris.
Un groupe industriel concurrent a appris par voie de presse qu'un contrat de services signicatif avait t conclu entre
Candide S.A. et son concurrent. priori, Candide S.A. prsente une opportunit intressante de collecte d'informations
sensibles en toute discrtion. Cette opportunit conduit notre groupe concurrent faire appel quelques consultants
spcialiss dans ce genre de travail (le groupe attaque).

4.Architecture du systme d'information

Pour illustrer le scnario, il faut modliser le systme d'information de l'agence de sous-traitance l'aide d'une architecture
type. La principale limitation de ce genre de maquette est l'absence d'une population sufsante d'acteurs sur le systme
d'information. En effet, plus la population d'utilisateurs est importante, plus l'ingnierie sociale est pertinente et efcace.

Scurit des systmes d'information

Scurit des systmes d'information

__

. . . . . . .Poste supervision
Pare-feu . _______
.------,~
_/
\__
.__.
. |=_=_=_=//
| PC
|'
/
\
___
|X=|______/ | | \_____|Client||
| Internet
|_(___)___|X-|
.
| \__
\------ /
\_
__/ |___|
|X |__ .
|.__.\
======/
\__
__/
Routeur ------ ' . || |Services Internet
/
\___/
|
. `| =||.__.
/
|
. | -|`| |Serveur Projet
..... /
|
.-----| =|
.------,~
|
.
| -|
| PC
|' Utilisateur
|
. ------ [Primtre
]
|Client|| nomade
|
. . . . .[des services]. . .
\------ /
|
======/
| . . . . . . . . . . . . . . . .
| . _______
| . |=_=_=_=//
\___/ | |
.
/ \
. ./... \______
. .------,~
.\...
.
| PC
|'
.------,~
.
|Client||
| PC
|'
.
\------ /
|Client||
.
======/
\------ /
.
======/ [Primtre
]
. . . . . . . . . . . .[utilisateurs]
___/

\_

Pour rendre cette maquette de systme d'information raliste, il est ncessaire d'introduire quelques biais :
La population des utilisateurs est limite
La maquette est une rduction minimaliste de systme d'information. Il lui manque une population d'utilisateurs
sufsante pour gnrer un trac alatoire permanent. Ce sont ces ux rseaux qui servent de bruit de fond pour
camouer les tentatives d'intrusion dans le systme. Toute la difcult, dans l'analyse des ux d'un vritable systme
d'information, est de distinguer un trac rseau normal d'un trac intrusif. A ce bruit de fond il faut ajouter toutes
les tentatives d'intrusion leurres qui gnrent de fausses alertes : virus, vers, etc.
Pour les travaux de groupes, le seul moyen d'analyse comparative envisag consiste confronter les donnes recueillies
par plusieurs outils de dtection d'intrusion sur des postes branchs sur des rseaux publics. Il est donc demand aux
tudiants de suivre l'installation prsente dans la rubrique rfrence sur La dtection d'intrusion sur leur propres postes
de travail domestiques. De cette faon, aprs quelques semaines d'exploitation, on dispose d'un volume consquent de
bruit de fond et de leurres que l'on peut tudier en vis vis des informations collectes sur la maquette.
La population des utilisateurs est singulire
Comme les rles des groupes d'tudiants sont biens dnis au dpart, il reste peu de place pour les surprises. Le
comportement de chacun vis vis du systme d'information est facile prdire. On imagine mal que le rdacteur de la
politique de scurit sur le courrier lectronique se mette l'enfreindre en quelques minutes. Il est donc trs difcile
d'introduire un utilisateur vritablement tranger l'architecture du systme d'information et, en plus, de lui laisser le
temps de prendre des initiatives originales.
La drive des usages
Comme la dure du cours est limite quelques semaines, il est difcile d'imaginer une drive des usages et de
la conguration du systme d'information par rapport aux politiques de scurit dnies. C'est pourtant une des
principales pistes d'exploitation pour les tests d'intrusion.
Lors des tests pratiques, il faut disposer d'au moins un serveur et un poste de travail sur lesquels la drive est simule
en n'installant pas tous les correctifs ncessaires et conformes aux dnitions des politiques de scurit. De la mme
faon, on simule les prestations de services bancales des oprateurs en programmant des temps d'absence sur le
pare-feu de la maquette.

5.Echancier des sances

Sance 1, Introduction et prsentation du projet
Introduction la scurit des systmes d'information partir d'un jeu de questions ouvertes.
Qu'est-ce que la scurit d'un systme d'information ?
Quelles sont les problmatiques spciques aux mtiers de la scurit ?
Qu'est-ce que l'intelligence conomique ?
Quel avenir pour le march de la scurit informatique ?
Qu'est-ce que la veille scurit ?
Exemple des 4 principes de base et leurs modalits d'application.
la connaissance de son propre systme d'information,
le principe du moindre privilge,

Scurit des systmes d'information

Scurit des systmes d'information

la dfense en profondeur,
la prvention c'est l'idal, la dtection c'est une ncessit.
Prsentation du projet et des travaux de groupes. Organisation et conditions d'accs la maquette du systme
d'information.
Pour aboutir une synthse correcte sur la collecte d'informations, il est ncessaire de pouvoir comparer les
informations issues de la maquette avec celles issues d'un rseau public courant. Le moyen le plus simple d'y parvenir,
est d'utiliser des outils de dtection d'intrusion.
Sance 2, Les politiques de scurit, L'architecture scurise des primtres de services
Prsentation thmatique sur les politiques de scurit : Les politiques de scurit. Cette prsentation doit servir
prioritairement au groupe dfense dans le but de dnir les modalits d'utilisation du systme d'information de
Candide S.A.. Le groupe analyse doit rechercher des exemples de politiques de scurit relatives aux audits. Enn, le
groupe attaque doit faire de mme pour les tests d'intrusion internes et externes.
Prsentation thmatique sur la conception de primtres de services scuriss : La conception de l'architecture du
systme d'information.
Pour la partie travaux de groupes, cette sance marque la nalisation des plans de bataille. Chacun doit avoir un rle
et des missions dnies l'issue de cette sance.
Sance 3, L'importance de la journalisation, Le ltrage et ses fonctionnalits aux diffrents niveaux de la modlisation OSI
Prsentation thmatique sur la journalisation systme et rseau, ses modalits d'exploitation et ses limites. L'objectif
pdagogique est de montrer que sans exploitation correcte de la journalisation, aucune mesure du niveau de scurit
n'est envisageable.
Prsentation thmatique sur le ltrage et les possibilits des couches liaison, rseau, transport et application. L'objectif
pdagogique est de montrer que si certains exploits sont trs complexes mettre en uvre, d'autres sont utilisables trs|
trop facilement.
Pour la partie travaux de groupes, le choix des outils de chaque groupe doit tre arrt et la maquette du systme
partiellement en place.
Sance 4
Dbut d'exploitation d'une version minimale du systme d'information de l'agence Candide S.A.. Les rles de chaque
membre de chaque groupe sont dnis ainsi qu'un planning prvisionnel. Chaque groupe dsigne une cellule de
communication avec les autres groupes. La premire tche importante de ces cellules de communication est de dnir
les dates de confrontation planies.
Autres Sances
Le contenu des autres sances est fonction des diffrents paliers de progression prvus par chaque groupe.
Gnralement, il est possible de raliser trois confrontations au cours des sances en groupe. Suite chacune de ces
confrontations, des prconisations sont mises par le groupe analyse. Ces prconisations, ainsi que les observations
faites par les deux autres groupes doivent guider les volutions et les corrections apporter.
On peut assimiler cette dmarche trois tours de roue dcrivant le cycle : Plan, Do, Check, Act.

6.valuation
Chaque groupe doit remettre un rapport crit et faire une prsentation orale lors de la dernire sance.
Le rapport crit doit avoir la forme d'un compte rendu d'audit dtaillant les missions cones chacun des membres du
groupe, les rsultats obtenus et faire une synthse critique sur l'ensemble de la ralisation. Il comprend donc obligatoirement
les lments suivants :
Une introduction avec :
Une prsentation des objectifs que le groupe s'est x relativement aux contraintes xes par le prsent document.
Une prsentation du plan retenu et des buts atteindre pour la synthse nale.
Une partie distribution des (tches|rles) avec :
Une distribution des tches en fonctions des objectifs dnis dans l'introduction. Dans cette distribution doivent
apparatre : les affectations des membres du groupe, le volume horaire consacr, le positionnement des tches dans le
planning ainsi que des prcisions sur les tches qui ont donn lieu une exploitation (ou non).
Un tableau de synthse des chanciers avec :
Une mise en vidence des diffrences entre l'chancier prvisionnel et l'chancier effectivement suivi. Pour chaque
(diffrence|dcalage) on trouvera un (renvoi|lien) vers l'explication correspondante dans les parties suivantes.
Une partie (Politique de scurit|Audit) avec :
Une prsentation des principales observations ralises et des prconisations correspondantes. Le Groupe dfense
prsente dans cette partie les politiques de scurit relatives au dploiement des quipements et des services de
la maquette du systme d'information. Le Groupe analyse prsente dans cette partie le rapport d'audit sur les
observations des changes entre les rseaux de la maquette. Enn, le Groupe attaque prsente le rapport d'audit sur
les tests de pntration et d'intrusion du systme d'information. Chaque groupe doit faire apparatre ses prconisations
pour un fonctionnement plus sr et plus scuris du systme d'information tudi.

Scurit des systmes d'information

Scurit des systmes d'information

Une partie tches et ralisations avec :
Une prsentation dtaille des tches ralises par les diffrents membres du groupe. Pour chacune des tches ralises
on prcisera :
Quels sont les objectifs particuliers cette tche ?
Qui particip ?
Comment cette tche se positionne dans l'chancier ?
Quels sont les (outils|moyens) utiliss ?
Quels sont les rsultats obtenus ?
Dans le cas o un travail n'a pas donn lieu une exploitation sur la maquette, on prcisera pourquoi et surtout quelles
sont les prconisations pour qu'une exploitation puisse avoir lieu.
Une partie bilan avec :
Une synthse sur l'ensemble du projet prsentant les points positifs et ngatifs ainsi que des prconisations pour
l'amliorer. Toutes les propositions sont les bienvenues !
La prsentation orale doit permettre aux membres des autres groupes de comprendre le cheminement suivi pour les
diffrentes actions entreprises. Elle doit aussi faire la synthse sur les difcults rencontres et les pistes d'amliorations
possibles pour le projet. Les modalits d'organisation sont les suivantes :
Une prsentation par groupe de 1 heure 20 minutes maximum
Il ne s'agit pas de reprendre le rapport crit mais d'extraire les faits marquants du droulement du projet. Il ne faut retenir
que les points techniques reprsentatifs de la dmarche suivie. Il faut aussi insister sur les aspects mtier et prendre
position en argumentant sur les choix et les prconisations faites par le groupe.
Ordre de passage
L'ordre de passage pour les prsentations est : Dfense, Analyse et Attaque.
Un dbat entre les trois groupes
Chaque groupe doit pouvoir rpondre aux questions des deux autres sur les choix effectus et leurs justications. Chaque
groupe doit aussi proposer des pistes d'amliorations pour les sessions venir.
Les documents doivent tre rendus au format PDF aussi bien pour le rapport crit que pour les vues de la soutenance orale.
Aprs accord des tudiants, ils sont publis dans la rubrique Prsentations4 du site inetdoc.

7.Documents de rfrence
Introduction la scurit des systmes d'information
Le document Network Security and the SMB5 constitue une bonne introduction pratique l'analyse de risque et la
validation de l'application de bonnes pratiques de scurit.
Les politiques de scurit
La page Web The SANS Security Policy Project6 rassemble l'essentiel des rfrences sur les politiques de scurit avec
de nombreux exemples. C'est le document Policy Primer7qui sert de base la prsentation.
La conception de l'architecture du systme d'information
Le document Firewall Deployment for Multitier Applications8 synthtise trs bien les problmatiques de dcoupage des
primtres lors de la conception d'une architecture de systme d'information.
Les possibilits de chaque couche de la modlisation OSI
Au niveau liaison de donnes, on dispose de trois documents de rfrence Cisco :
Hacking Layer 2: Fun with Ethernet Switches9. Ce document de 2002 date un peu. Il reste cependant trs utile pour
une prsentation des diffrentes actions possibles au niveau liaisons de donnes (couche 2 de la modlisation OSI).
L'ensemble des possibilits prsentes reste d'actualit.
SAFE Layer 2 Security In-depth Version 210. Ce second document est une version ofcielle rvise du premier. Il est
plus intressant pour l'application des stratgies de scurit sur les quipements.
NSA Cisco IOS Switch Security Conguration Guide11. Ce troisime document dtaille la conguration de la
scurisation des commutateurs Cisco. Les principes sont applicables d'autres marques d'quipements de niveau
2 et plus.
4

http://www.inetdoc.net/presentations/
http://www.sans.org/rr/whitepapers/bestprac/1542.php
http://www.sans.org/resources/policies/
7
http://www.sans.org/resources/policies/Policy_Primer.pdf
8
http://www.zeltser.com/fwdeployment/
9
http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf
10
http://www.cisco.com/warp/public/cc/so/cuso/epso/sqfr/sfblu_wp.pdf
11
http://www.nsa.gov/snac/downloads_switches.cfm?MenuID=scg10.3.1
5
6

Scurit des systmes d'information

Scurit des systmes d'information

Au niveau rseau, on dispose d'un excellent guide publi par la NSA sur la scurisation des routeurs.
Router Security Conguration Guide12.
FIXME: complter pour les autres couches
La centralisation des journaux systmes et rseaux
Il n'existe aucune solution idale cl en main pour la gestion des informations de scurit (Security Information
Management ou SIM). Le document Analyse des journaux de pare-feux avec ACID13 est un exemple caractristique de
centralisation des journaux faon.
La dtection d'intrusion
Au dbut du cours, il est vivement conseill tous les tudiants d'installer un systme de dtection d'intrusion sur leurs
postes domestiques l'aide de document du type : Master/Stand Alone - Windows Intrusion Detection System (WinIDS)14.
L'objectif de cette installation est d'valuer le niveau de pression exerc sur un poste domestique relativement un
poste usage professionnel.
Les accs distants
Les rseaux privs virtuels SSL (VPN-SSL) constituent le moyen le plus efcace de scuriser les accs distants au systme
d'information. Le document OpenVPN and the SSL VPN Revolution15 prsente un argumentaire complet sur la question.

12

http://www.nsa.gov/snac/downloads_cisco.cfm?MenuID=scg10.3.1
http://www.giac.org/practical/GSEC/Anthony_Shearer_GSEC.pdf
http://www.winsnort.com/modules.php?op=modload&name=Sections&le=index&req=viewarticle&artxml:id=5&page=1
15
http://www.sans.org/rr/papers/index.php?xml:id=1459
13
14

Scurit des systmes d'information