Rsum livre : Scurit informatique et

rseaux
Les principes de scurit
Disponibilit
Accessibilit, temps de rponse acceptables, capacit => dimensionnement appropri
tests de monte en charge
SLA continuit de service,
politique de sauvegarde (cot entre de sauvegarde vs risque dindisponibilit supportable par
lorganisation)

Intgrit
Certifier que les donnes, les traitements ou les services nont pas t modifis, altrs ou
dtruits tant de faon intentionnelle quaccidentelle.
Nont pas t modifies lors de leur stockage ou de leur transfert.
Sont protges des coutes actives qui peuvent modifier les donnes intercceptes

Confidentialit
Protection des donnes contre une divulgation non autorise
Limiter leurs accs par un mcanisme de contrle daccs
Transformer les donnes par des procdures de chiffrement

Authentification et Identification
Mises en uvre pour contribuer raliser les mesures de scurit assurant :

Confidentialit et intgrit : seuls les ayant droit peuvent accder aux ressources
non-rpudiation et imputabilit : preuve de lorigine dun message, dune transaction, preuve
de la destination.

Non-rpudiation / imputabilit / traabilit

Auditabilit : capacit dun systme garantir la prsence des informations ncessaires une
analyse ultrieure dun vnement.
Log / journal => dure de rtention ?

Domaines dapplication de la scurit

Scurit physique et environnementale

Scurit logique
Contrle daccs
Classification des donnes pour qualifier leur degr de sensibilit

1 boris.fritscher@unil.ch
Scurit applicative

Scurit de lexploitation
Maintenance doit tre prventive et rgulire
Risque dexploitation : remplacement des quipements, interruption de service, perte de
donnes
Adquation du niveau de service offert, par rapport celui spcifi dans le contract

Scurit des tlcommunications

Offrir lutilisateur, une connectivit fiable et de qualit de bout en bout
Un environnement de communication scuris implique la scurisation de tous les lments
de la chane informatique.
Un systme scuris, mobilisant dimportants moyens scuritaires, aussi pertinents soient-ils,
ne pourra tre efficace que sil sappuie sur un code dutilisation des ressources informatique
formalis par une charte (page 12)
Enjeux conomique et politiques

Facettes de la scurit
Matrise de la scurit informatique, procdures qui rgissent leurs utilisations et
configuration.
La scurit repose sur des axes complmentaires managriaux, techniques et juridiques qui
doivent tre abords en parallle. Elle nest jamais acquise dfinitivement.
Veille juridique
Actions dinformation et de formation, mesures prventives et dissuasives
SCHEMA p13

Attaques
1) Collecte dinformations, Recherche de vulnrabilits
2) Savoir-faire et exploitation des informations recueillies et des failles (0day exploit)
3) Cration dune attaque
4) Exfiltration (ne pas tre dtect, effacer traces)

Active (D I A) / passives (C)

Brut force, dictionnaire, cheval de troie, faiblesse des mots de pass

=> mot de passe usage unique

Dni / Refus de service

La criminalit informatique
Classiques ou brches ouvertes par les technologies de traitement de linformation

Internet comme facteur de performance pour le monde criminel

Problme de poursuite, car les tarces sont immatrielles

2 boris.fritscher@unil.ch
Les solutions de scurit sont des rponses statiques un problmes dynamique mais surtout des
rponses dordre technologique des problmes humains, managriaux et lgaux.

Le niveau de scurit des infrastructures rsulte donc dun compromis entre ces facteurs :

Cot
Niveau de service de scurit
Temps de livraison

Dimension humaine difficilement contrlable

Atteritorialit dInternet

Matrise des risques par lintgration dans leur management, de la notion de gouvernance de la
scurit

Dmatrialisation
Usurpation didentit, leurre, accs indus, exploitation frauduleuse de ressources, infection,
dtrioration, destruction modification, divulgation, dni de service, vol

Notion de donne dorigine na plus de sens puisque les copies lidentique et linfinie sont
possibles.

Disponibilit doutils
Information immatrielle, support physique => vulnrabilits

Universalisation et dpendance
SCHEMA p27

Liste p35

Intimit numrique
La scurit passe par la surveillance, le contrle et le filtrage des communications.
Garde-fous pour viter les abus
Intimit, confidentialit de donnes caractre personnel
Protection de la vie priv / respect des droits fondamentaux

Types
Virus, spam, phising => e-mails
Intrustion de systems => dtecter/ plans daction, raction=> limiter la propagation dune
attque, rduire les impacts, rparer les atteintes ou dgts engendrs.
Chantage => souvant pas annonc

La stratgie de scurit

Connatre les risques pour les matriser

Aucune prjudice ne doit mettre en pril la prennit de lentreprise

3 boris.fritscher@unil.ch
 Protection, organisation de la dfense (dmarche proactive), plans de raction (dmarche
ractive)
Prvention, protection, raction
1) Identifier les valeurs => de la pertinence de lanalyse des risques dpendera lidentification
correcte des moyens et des mesures de scruit mettre en uvre pour protger
efficacement les ressources du sytme dinformation.
2) Mettre en place les outils et les procdures ncessaires la gestion des risques et la
scurit des systmes, services et donnes
3) Contrler ladquation, pertinence, valuation priodique voire constante, optimisation

Stratgie de scurit
Critres fondamentaux, DIC A NR, prennit, intimit numrique
Sont dtermines, gres et valides par des procdures de gestion => acte de management
Rduire la scurit sa dimension technologique est assurer son chec
Page 57 PRINCIPES
La stratgie relve du domaine de la direction gnrale
La scurit un facteur de comptitivit contribuant une meilleure rentabilit, facteur de
qualit
La scurit ne permet pas directement de gagner de largent, mais vite den perdre.
Problme : il nexiste pas de critre objectivement mesurable du rendement du capital
investi et du retour sur investissement en scurit.
La diversit et le nombre de solutions peuvent crer un problme de cohrence globale de
lapproche scuritaire. En consquence, la technologie ne suffit pas, elle doit tre intgre
dans une dmarche de gestion.

La politique de scurit
La gestion des risques constitue le point de dpart de lanalyse des besoins scuritaires.

Bonne politique : complte et cohrente, afin de rpondre prcisment aux besoins de scurit de
lorganisation dans un contexte donn.

La dfinition de la politique de scruit :

Simple et comprhensible
Adoptable par un personnel pralablement sensibilis voire form
Aisment ralisable
Maintenance facile
Vrifiable et contrlable
volutive
Configurable / personnalisable

Normes voir slides :

Les normes ou mthodes nvoluent pas au mme rythme que les besoins ou les
technologies.

4 boris.fritscher@unil.ch
Classement de linformation : publique, financier, prive, secrte

Mesures de scruit
Avant le sinistre
Mesures prventives
Mesures structurelles
Mesures de dissuasion

Aprs le sinistre
Mesures palliatives et correctives
Mesures de rcupration

Plan de secours
1) Analyse stratgique
2) Choix des solutions
3) Ralisation (mise en uvre oprationnelle)
4) Validation et suivi
Audit

Critres communs
Acteurs

Utilisateurs : connat niveau de scurit offert par un produit

Dveloppeurs : identification des exigences de scurit
valuateurs : label standardis, confiance accorder lorganisation de certification ?

Toutefois le champ dapplication et lintrt du label restent faibles au regard de la lourdeur de la

dmarche de certification.

Label statique attribu un instant donn pour une version spcifique dun produit.

La scurit par le chiffrement

Cryptographie : crire linformation (son, images, textes) en la rendant inintelligible ceux ne
possdant pas les capacits de la dchiffrer.

Garder un algorithme secret ne renforce pas sa scurit

Chiffrement symtrique
Autant de paires diffrentes de cls quil y a de paires de correspondant !

Reste voire slides

La scurit des infrastructures de tlcommunication

On ne peut assurer la scurit que dans un mode connect

5 boris.fritscher@unil.ch
Lassociation de scurit est unidirectionnelle, deux associations de scurit sont alors ncessaires
pour supporter un change bidirectionnel.

Mode transport vs mode tunnel (nouveau paquet IP dans le paquet IP)

Il est impratif de pouvoir distinguer ces deux types de donnes donnes de contrle du
protocole et donnes de lutilisateur pour pouvoir chiffrer ces dernires et les rendre
confidentielles, sans pour autant chiffrer les premires afin que le protocole puisse effectuer sa tche
et que les donnes soient effectivement transfres.

La scurit par les systmes pare-feu et de dtection dintrusions

Le premier stade de la scurit dun intranet passe donc par un bon dimensionnement et un bonne
gestion du rseau de lentreprise.

Ne pas introduire des vulnrabilits supplmentaires en autorisant linterconnexion de son intranet

lInternet.

Lintranet facilite et banalise laccs aux sources de donnes => contrler et autoriser laccs

Firewall
Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des
composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien
protger le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de
mesures et de procdures rpondant des objectifs de scurit pralablement dtermins par la
politique de scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par
rapport aux systmes quil doit protger, de sa configuration et de sa gestion.

Principes : filtrage, masquage, relais

Systme de dtection dintrusions (IDS)

Collecte des informations
Analyse des informations rcupres
Dtection des intrusions et les rponses donner suite dtection

Mthode bases sur les signatures => doit dj connatre

Mthode bases sur les profils => bases sur la comparaison dvnement collects par rapport des
profils de comportement normaux associs des utilisateurs ou des applications

Filtre trop grand =>faux ngatif

Filtre trop restrictif => faux positif

Rponses
Actives :

entreprendre une action agressive contre lintrus (illgale)

restructurer larchitecture du rseau (isoler)
surveiller le systme attaqu

6 boris.fritscher@unil.ch
Passives : collection dinformation

La scurit des applications et des contenus

Il faut que les informations sensibles le soient tout au long de la chane de traitement et de leur
dure de vie. En effet, le vendeur doit assurer leur confidentialit lors de leurs stockages et durant
les demandes dautorisation de paiement (paiement par carte sur internet).

DRM => grands problmes dinteroprabilit, mais donne du contrle des mdias aux organisations.

La scurit par la gestion de rseaux

Les administrateurs rseaux comme le personnel technique interviennent comme des pompiers pour
parer au plus press par des actions de patch & fix. Dans ce contexte, on a donc tout gagner
travailler avec des produits dont on connat lavance le niveau de scurit quils offrent lorsquils sont
certifis critres communs par exemple.

Cohrence globale des services et la non-redondance excessive => proportionnelle aux risques
encourus

Authentification :

Ce que lon connait (code)

Ce que lon possde (carte)
Ce que lon est (biomtrie)

Les solutions de scurit ont aussi besoin dtre protges et scurises => rcursivit des solutions
de scurit et leur problme.

Serveurs de nom (login) : backup, test pour une haute charge,

Biomtrie : problmes du stockage de lenregistrement, ainsi que du besoin dapproximation

Mise en place du contrle daccs

1) Identification des besoins
2) Recherche et analyse de scnarios possibles
3) Proposition et validation dun scnario
4) Plan daction et laboration dun cahier des charges
5) Mise en uvre de la solution

Gestion du parc informatique

One ne gre bien et on ne scurise bien que ce que lon connat bien => recensement le plus
exhaustif possible des actifs informatiques de lentreprise.

Indicateur de qualit
Disponibilit, capacit, accessibilit, temps de rponse, fiabilit

La non-documentation cre ou maintient une dpendance trs forte entre lentreprise et ses
administrateurs rseau => estimation du dgre de dtail

7 boris.fritscher@unil.ch