Académique Documents
Professionnel Documents
Culture Documents
rseaux
Les principes de scurit
Disponibilit
Accessibilit, temps de rponse acceptables, capacit => dimensionnement appropri
tests de monte en charge
SLA continuit de service,
politique de sauvegarde (cot entre de sauvegarde vs risque dindisponibilit supportable par
lorganisation)
Intgrit
Certifier que les donnes, les traitements ou les services nont pas t modifis, altrs ou
dtruits tant de faon intentionnelle quaccidentelle.
Nont pas t modifies lors de leur stockage ou de leur transfert.
Sont protges des coutes actives qui peuvent modifier les donnes intercceptes
Confidentialit
Protection des donnes contre une divulgation non autorise
Limiter leurs accs par un mcanisme de contrle daccs
Transformer les donnes par des procdures de chiffrement
Authentification et Identification
Mises en uvre pour contribuer raliser les mesures de scurit assurant :
Confidentialit et intgrit : seuls les ayant droit peuvent accder aux ressources
non-rpudiation et imputabilit : preuve de lorigine dun message, dune transaction, preuve
de la destination.
Scurit logique
Contrle daccs
Classification des donnes pour qualifier leur degr de sensibilit
1 boris.fritscher@unil.ch
Scurit applicative
Scurit de lexploitation
Maintenance doit tre prventive et rgulire
Risque dexploitation : remplacement des quipements, interruption de service, perte de
donnes
Adquation du niveau de service offert, par rapport celui spcifi dans le contract
Facettes de la scurit
Matrise de la scurit informatique, procdures qui rgissent leurs utilisations et
configuration.
La scurit repose sur des axes complmentaires managriaux, techniques et juridiques qui
doivent tre abords en parallle. Elle nest jamais acquise dfinitivement.
Veille juridique
Actions dinformation et de formation, mesures prventives et dissuasives
SCHEMA p13
Attaques
1) Collecte dinformations, Recherche de vulnrabilits
2) Savoir-faire et exploitation des informations recueillies et des failles (0day exploit)
3) Cration dune attaque
4) Exfiltration (ne pas tre dtect, effacer traces)
La criminalit informatique
Classiques ou brches ouvertes par les technologies de traitement de linformation
2 boris.fritscher@unil.ch
Les solutions de scurit sont des rponses statiques un problmes dynamique mais surtout des
rponses dordre technologique des problmes humains, managriaux et lgaux.
Le niveau de scurit des infrastructures rsulte donc dun compromis entre ces facteurs :
Cot
Niveau de service de scurit
Temps de livraison
Atteritorialit dInternet
Matrise des risques par lintgration dans leur management, de la notion de gouvernance de la
scurit
Dmatrialisation
Usurpation didentit, leurre, accs indus, exploitation frauduleuse de ressources, infection,
dtrioration, destruction modification, divulgation, dni de service, vol
Notion de donne dorigine na plus de sens puisque les copies lidentique et linfinie sont
possibles.
Disponibilit doutils
Information immatrielle, support physique => vulnrabilits
Universalisation et dpendance
SCHEMA p27
Liste p35
Intimit numrique
La scurit passe par la surveillance, le contrle et le filtrage des communications.
Garde-fous pour viter les abus
Intimit, confidentialit de donnes caractre personnel
Protection de la vie priv / respect des droits fondamentaux
Types
Virus, spam, phising => e-mails
Intrustion de systems => dtecter/ plans daction, raction=> limiter la propagation dune
attque, rduire les impacts, rparer les atteintes ou dgts engendrs.
Chantage => souvant pas annonc
La stratgie de scurit
3 boris.fritscher@unil.ch
Protection, organisation de la dfense (dmarche proactive), plans de raction (dmarche
ractive)
Prvention, protection, raction
1) Identifier les valeurs => de la pertinence de lanalyse des risques dpendera lidentification
correcte des moyens et des mesures de scruit mettre en uvre pour protger
efficacement les ressources du sytme dinformation.
2) Mettre en place les outils et les procdures ncessaires la gestion des risques et la
scurit des systmes, services et donnes
3) Contrler ladquation, pertinence, valuation priodique voire constante, optimisation
Stratgie de scurit
Critres fondamentaux, DIC A NR, prennit, intimit numrique
Sont dtermines, gres et valides par des procdures de gestion => acte de management
Rduire la scurit sa dimension technologique est assurer son chec
Page 57 PRINCIPES
La stratgie relve du domaine de la direction gnrale
La scurit un facteur de comptitivit contribuant une meilleure rentabilit, facteur de
qualit
La scurit ne permet pas directement de gagner de largent, mais vite den perdre.
Problme : il nexiste pas de critre objectivement mesurable du rendement du capital
investi et du retour sur investissement en scurit.
La diversit et le nombre de solutions peuvent crer un problme de cohrence globale de
lapproche scuritaire. En consquence, la technologie ne suffit pas, elle doit tre intgre
dans une dmarche de gestion.
La politique de scurit
La gestion des risques constitue le point de dpart de lanalyse des besoins scuritaires.
Bonne politique : complte et cohrente, afin de rpondre prcisment aux besoins de scurit de
lorganisation dans un contexte donn.
Simple et comprhensible
Adoptable par un personnel pralablement sensibilis voire form
Aisment ralisable
Maintenance facile
Vrifiable et contrlable
volutive
Configurable / personnalisable
Les normes ou mthodes nvoluent pas au mme rythme que les besoins ou les
technologies.
4 boris.fritscher@unil.ch
Classement de linformation : publique, financier, prive, secrte
Mesures de scruit
Avant le sinistre
Mesures prventives
Mesures structurelles
Mesures de dissuasion
Aprs le sinistre
Mesures palliatives et correctives
Mesures de rcupration
Plan de secours
1) Analyse stratgique
2) Choix des solutions
3) Ralisation (mise en uvre oprationnelle)
4) Validation et suivi
Audit
Critres communs
Acteurs
Label statique attribu un instant donn pour une version spcifique dun produit.
Chiffrement symtrique
Autant de paires diffrentes de cls quil y a de paires de correspondant !
5 boris.fritscher@unil.ch
Lassociation de scurit est unidirectionnelle, deux associations de scurit sont alors ncessaires
pour supporter un change bidirectionnel.
Il est impratif de pouvoir distinguer ces deux types de donnes donnes de contrle du
protocole et donnes de lutilisateur pour pouvoir chiffrer ces dernires et les rendre
confidentielles, sans pour autant chiffrer les premires afin que le protocole puisse effectuer sa tche
et que les donnes soient effectivement transfres.
Lintranet facilite et banalise laccs aux sources de donnes => contrler et autoriser laccs
Firewall
Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des
composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien
protger le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de
mesures et de procdures rpondant des objectifs de scurit pralablement dtermins par la
politique de scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par
rapport aux systmes quil doit protger, de sa configuration et de sa gestion.
Mthode bases sur les profils => bases sur la comparaison dvnement collects par rapport des
profils de comportement normaux associs des utilisateurs ou des applications
Rponses
Actives :
6 boris.fritscher@unil.ch
Passives : collection dinformation
DRM => grands problmes dinteroprabilit, mais donne du contrle des mdias aux organisations.
Cohrence globale des services et la non-redondance excessive => proportionnelle aux risques
encourus
Authentification :
Les solutions de scurit ont aussi besoin dtre protges et scurises => rcursivit des solutions
de scurit et leur problme.
Indicateur de qualit
Disponibilit, capacit, accessibilit, temps de rponse, fiabilit
La non-documentation cre ou maintient une dpendance trs forte entre lentreprise et ses
administrateurs rseau => estimation du dgre de dtail
7 boris.fritscher@unil.ch