Chap1 - Vocabulaire de La Securite Informatique DEFI - PPSX

CHAP 1: RAPPEL SUR LE VOCABULAIRE DE LA SSI
• COURS DE SECURITE RESEAU
• CHARGE DU COURS: M. Salomon ADJONYO
• ING. SECURITE RESEAU ET SYSTEME

• DOCTORANT EN ACADEMIE DES SCIENCES DU MANAGEMENT DE
PARIS
Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME
Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou
contraire à l'éthique contre toute personne morale ou physique. Chargé : M. ADJONYO 1
1. INTRODUCTION
La sécurité ?
Etymologie : du latin securitas, absence de

soucis, tranquillité de l'âme, dérivé de securus,
exempt de soucis, exempt de crainte, tranquille.
D’après le Dictionnaire Larousse, la sécurité est

la situation dans laquelle quelqu'un, quelque
chose n'est exposé à aucun danger, à aucun
risque, en particulier d'agression physique,
d'accidents, de vol, de détérioration
La sécurité est l'état d'une situation présentant
le minimum de risque(Wiki).
2. PANORAMA CYBERATTAQUES ET
MENACES 2017
6
La sécurité est l'état d'une situation présentant
le minimum de risque(Wiki).
2. Panorama cyberattaques et menaces 2017
On entend beaucoup parler de cybercriminalité,
mais qu'est-ce que c'est ?
Définissons d’abord le terme criminalité
La criminalité est l'ensemble des actes illégaux,
délictueux (délits) et criminels (crimes),
commis dans un milieu , à une époque donnée.
La convention sur la cybercriminalité du Conseil

de l'Europe utilise le terme "cybercriminalité"
pour faire référence aux délits allant de toute
activité criminelle portant atteinte aux
données, au non-respect des droits d'auteur..
• Symantec s'inspire des nombreuses

définitions de la cybercriminalité et donne la
définition concise suivante : tout acte criminel
perpétré à l'aide d'un ordinateur ou sur un
réseau, ou à l'aide de matériel informatique.
• On peut dire : C’est donc tout acte non
autorisé contre les objectifs de la sécurité des
SI.
CHRONOLOGIE DES MENACES ET ATTAQUES 2017
RAPPEL SUR LE VOCABULAIRE DE LA SSI
FRAUDE MONDIALE A LA CARTE BANCAIRE 2010-2020
Pertes mondiales liées à
la fraude par carte
exprimées en mille
millards de dollard
américain et par
pourcentage de cent
dollard de volume de
transaction effectuée
entre 2010 et 2020

Ce cours s’inscrit dans un cadre académique. Le formateur n'est aucunement responsable de délits ou dommages directs ou indirects causés par une utilisation illégale ou 13
contraire à l'éthique contre toute personne morale ou physique. Chargé : M. ADJONYO
• Ces montants comprennent les coûts directs et non-
indirects, tels que les frais de riposte à l'incident, la
conduite d'enquêtes internes, la participation d'experts
dans le cadre d’une démarche d’investigation
numérique, la notification aux clients et aux
partenaires, la fourniture d'une indemnisation
appropriée, le coût de remplacement des cartes,
l'organisation de services gratuits de surveillance du
crédit et les pertes prévues dans les affaires futures.
• Certaines pertes sont plus difficiles à

quantifier; cependant, ils peuvent être
dévastateurs pour toute entreprise. Les pertes
intangibles incluent les dommages à la
réputation, la baisse du cours des actions et la
perte de fidélisation de la clientèle.
3. CONSEQUENCES DE LA
CYBERCRIMINALITE
• Perte financière (argent volé par le criminel)

• Perte d’image ou réputation
• Perte d’emploi
• Les frais liés aux activités de riposte et
d’investigation (technique, organisationnelle,
humaine et juridique)
• Les poursuites
• Les couts de reproduction des biens
endommagés et de sécurisation supplémentaires.
17
• Deloitte, entreprise de droit britannique, un

des leaders mondiaux et acteur de référence
en audit, consulting, conseils en finance,
risques, juridique & fiscal et expertise
comptable fait le point de la situation, dans
son rapport de 2016. Au total 14
conséquences possibles identifiées ci-dessous:
19
4. TERMINOLOGIE
Pour une meilleure compréhension de la suite du cours, il est

opportun de définir certains termes relatifs à la sécurité du
système d’information.
– La sécurité des systèmes d’information (SSI): C’est l’ensemble
des moyens techniques, organisationnels, juridiques et humains
nécessaires à la mise en place des moyens visant à empêcher
l'utilisation non-autorisée de l’information. Pour se faire elle se
fixe des objectifs à atteindre.
• Les objectifs SSI (ISO/IEC 27001)
On appelle objectif de sécurité, le niveau de risque acceptable qu’on souhaite atteindre en

mettant en place une mesure de sécurité.
La sécurité des systèmes d'information vise les objectifs suivants :
• Disponibilité
Cet objectif stipule que Le système doit fonctionner sans faille durant les plages d'utilisation
prévues et garantir l'accès aux services et ressources installées avec le temps de réponse attendu.
• Confidentialité
Cet objectif signifie que seules les personnes autorisées ont accès aux informations qui leur sont
destinées. Tout accès indésirable doit être empêché.
• Intégrité
• L’intégrité exige que les données demeurent celles que

l'on attend, et ne doivent pas être altérées de façon
fortuite, illicite ou malveillante. En clair, les éléments
considérés doivent être exacts et complets.
• A ces trois s’ajoutent:
• Authentification
L'authentification pour un système informatique est un processus permettant au

système de s'assurer de la légitimité de la demande d'accès faite par une entité (être
humain ou un autre système...) afin d'autoriser l'accès de cette entité à des ressources
du système (systèmes, réseaux, applications…)
• Non-répudiation
C’est la garantie qu’aucun des correspondants ne pourra nier la transaction.
• La traçabilité (ou « preuve ») : garantie que les accès et tentatives d'accès aux
éléments considérés sont tracés et que ces traces sont conservées et exploitables.
• Par ailleurs, il faut noter que la sécurisation d’un système

d’information n’aurait aucun sens s’il ne répond à un risque
apprécié à priori.
• Une fois les objectifs de la sécurisation déterminés, les risques
pesant sur chacun d’eux au regard des actifs de valeur de
l’organisation doivent donc être estimés en fonction des menaces.
Ces notions nous amènent à la définition de certains termes relatifs
à la pertinence de la sécurisation d’un système d’information.
• ISO/CEI 27005
POURQUOI SECURISER MON SI ?
On sécuriser lorsqu’il y a une justification, un bien de

valeur sur lequel pèse une menace. Lorsqu’il y a un
risque
• Actif : désigne tout élément ayant de la valeur pour

l’organisme et nécessitant, par conséquent, une
protection.
• Vulnérabilité: c’est une faiblesse d’un système qui le rend sensible à une menace.
• Menace: source potentielle d'incident, pouvant entraîner des changements
Indésirables sur un actif en exploitant une vulnérabilité.
• Attaque : c’est l’exploitation effective d’une vulnérabilité par une menace pour
atteindre ses objectifs produisant ainsi un impact indésirable sur un actif.
• Risque: c’est la probabilité qu’une attaque survienne, qu’une menace agisse sur un
actif.
• Impact: l’impact que l’effet indésirable produit par une attaque.

C’est le préjudice causé par une menace à un actif en termes de
disponibilité, de confidentialité et d’intégrité.
• Contre-mesure: moyen concret qui assure, partiellement ou

totalement, la protection de l'actif informationnel contre une ou
plusieurs menaces informatiques, et dont la mise en œuvre vise à
amoindrir la probabilité de survenance de ces menaces ou à
minimiser les pertes qui en résultent.
C’est l’ensemble des moyens organisationnels,

humains, juridique et techniques mis en place
en vue de mitiger un risque initialement
apprécié.
L’adéquation, la pertinence et l’effectivité des
mesures de sécurité dépendent des résultats
obtenus de l’appréciation des risques.
Autrement sans avoir évalué les risques et leur criticité

c’est-à-dire sans traiter les questions du genre : quels
risques et quelles menaces, sur quelles données ou quelles
activités, avec quelles conséquences, aboutissant à une «
cartographie des risques », les contrôles n’auraient pas
leur effet escompté. En effet de la qualité de cette
cartographie dépend la qualité de la sécurité qui va être
mise en œuvre.
• EXERDEFIE:
1. Déterminer la cartographie des
cyberattaques en Afrique 2017
2. En reprenant les Cyberattaques sus-
mentionnés, identifier pour chacune: leur
mode opératoire et impact
3. Déterminer top des menaces (classement
OWASP)

Chap1 - Vocabulaire de La Securite Informatique DEFI - PPSX

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chap1 - Vocabulaire de La Securite Informatique DEFI - PPSX

Transféré par

Droits d'auteur :

Formats disponibles

CHAP 1: RAPPEL SUR LE VOCABULAIRE DE LA SSI

• COURS DE SECURITE RESEAU

• CHARGE DU COURS: M. Salomon ADJONYO

• ING. SECURITE RESEAU ET SYSTEME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Etymologie : du latin securitas, absence de

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

D’après le Dictionnaire Larousse, la sécurité est

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

La convention sur la cybercriminalité du Conseil

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

• Symantec s'inspire des nombreuses

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

CHRONOLOGIE DES MENACES ET ATTAQUES 2017

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

la fraude par carte

entre 2010 et 2020

• Certaines pertes sont plus difficiles à

• Perte financière (argent volé par le criminel)

• Deloitte, entreprise de droit britannique, un

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Pour une meilleure compréhension de la suite du cours, il est

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

• Les objectifs SSI (ISO/IEC 27001)

On appelle objectif de sécurité, le niveau de risque acceptable qu’on souhaite atteindre en

La sécurité des systèmes d'information vise les objectifs suivants :

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

• L’intégrité exige que les données demeurent celles que

• A ces trois s’ajoutent:

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

L'authentification pour un système informatique est un processus permettant au

C’est la garantie qu’aucun des correspondants ne pourra nier la transaction.

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

• Par ailleurs, il faut noter que la sécurisation d’un système

POURQUOI SECURISER MON SI ?

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

On sécuriser lorsqu’il y a une justification, un bien de

• Actif : désigne tout élément ayant de la valeur pour

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

• Menace: source potentielle d'incident, pouvant entraîner des changements

Indésirables sur un actif en exploitant une vulnérabilité.

atteindre ses objectifs produisant ainsi un impact indésirable sur un actif.

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

• Impact: l’impact que l’effet indésirable produit par une attaque.

• Contre-mesure: moyen concret qui assure, partiellement ou

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

C’est l’ensemble des moyens organisationnels,

Année de Licence DEFI. Semestre Harmattan DEFI TECH LOME

Autrement sans avoir évalué les risques et leur criticité

Vous aimerez peut-être aussi