République Algérienne Démocratique et Populaire

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR ET DE LA

RECHERCHE SCIENTIFIQUE

L'école nationale supérieure de la statistique et de l'économie appliquée

(ENSSEA) Ex (INPS)

Préparer par : Diriger par :

M.OULD BASTAMI NACER M.BENAMIROUCHE.R

Année scolaire : 2009-2010

 Sommaire

1 Enjeux de la sécurité des systèmes d'information

2 L'évaluation des risques

* 2.1 Méthodes d'analyse de risque

* 2.2 Informations sensibles
* 2.3 Critères de sécurité
* 2.4 Menaces
* 2.5 Objectifs

3 Moyens de sécurisation d'un système

* 3.1 Conception globale

* 3.2 Défense en profondeur
* 3.3 Politique de sécurité
* 3.4 Responsable de la sécurité du système d'information
* 3.5 Modèles formels de sécurité
* 3.6 Plan de continuité d'activité
* 3.7 Moyens techniques

4 Marché de la sécurité informatique

Bibliographie

* Didier Hallépée, CMPI-CMSI - qualité et Sécurité informatique,

Carrefour du Net, 2009

2
L'entreprise, qui était hier fortement hiérarchisée, est devenue, aujourd'hui un
système.
D'une vision verticale, on est ainsi passé à une vision globale ou ensembliste.
L'entreprise est un ensemble d'éléments relié entre eux et les liaisons sont le
siège d'interactions complexes, sources des principaux problèmes en matière de
système d'information.

De plus, la production exige un tel niveau de technicité qu'il est désormais

difficile de recouper et transmettre aux différents services toutes les
informations nécessaires, sans l'aide des outils informatique.
Ainsi, quelle que soit la méthode de production, en flux poussés ou en flux tirés,
l'utilisation de systèmes d'information s'avère indispensable.
D'autres services de l'entreprise profitent des avantages offerts par l'utilisation
de systèmes d'informations, par exemple la comptabilité, la gestion financière,
la gestion commerciale et marketing, ainsi que les ressources humaines. On
remarque que les SI trouvent des applications, dans tous les domaines qui
demandent le traitement d'une quantité importante d'informations.

Aujourd'hui, les systèmes d'information sont donc de plus en plus considérés

comme une arme stratégique. En effet, l'utilisation de systèmes d'information
dans l'entreprise est source d'avantages concurrentiels et contribue à améliorer
la qualité du management à travers la cohérence et la flexibilité qu'introduisent
ces systèmes dans l'organisation.

3
1-Enjeux de la sécurité des systèmes d'information

Le terme « système informatique » désigne ici tout système dont le

fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à
élaborer, traiter, stocker, acheminer ou présenter de l'information. Les systèmes
d'information s'appuient en règle générale sur des systèmes informatiques pour
leur mise en œuvre. Ils comprennent les données de télécommunications (voix
analogique, voix sur IP…) et dans certains cas, les données sur papier.

De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer

ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la
révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de «
confidentialité de l'information »), ou bien par exemple de porter atteinte à sa
disponibilité (on parle alors de « disponibilité du système »). Depuis les années
1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements,
les partages de données et l'interactivité ont augmenté de façon considérable —
mais c'est également le cas des pannes — indisponibilités, incidents, erreurs,
négligences et malveillances en particulier avec l'ouverture sur internet.

Certaines de ces menaces peuvent aussi, indirectement, causer d'importants

dommages financiers. Par exemple, bien qu'il soit relativement difficile de les
estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été
avancées suite à des dommages causés par des programmes malveillants comme
le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de
numéros de cartes de crédit, ont été déterminés plus précisément.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du
tort à la vie privée d'une personne en diffusant des informations confidentielles
sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour
cette raison être sanctionnés lorsqu'une négligence de l'hébergeur est établie : si,
par exemple, celui-ci n'a pas appliqué un correctif dans des délais raisonnables.

Indirectement aussi, certaines menaces peuvent nuire à l'image même du

propriétaire du système d'information. Des techniques répandues de « defacing »
(une refonte d'un site web) permettent à une personne mal intentionnée de mettre
en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent
aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son
propriétaire (on parle alors de désinformation).

Le cas le plus répandu, et sans aucun doute les précurseurs en matière de

sécurité de l'information, reste la sécurisation de l'information stratégique et plus
particulièrement militaire. Le TCSEC, ouvrage de référence en la matière, est
issu du Department of Defense (DoD) des États-Unis. Le principe de sécurité
4
multi niveau trouve ses origines dans les recherches de résolution des problèmes
de sécurité de l'information militaire. Aujourd'hui, plusieurs mécanismes sont
étudiés ; citons les leurres reposant sur l'argument qu'interdire explicitement
l'accès à une donnée consiste à fournir une information sur cette dernière… ce
qui sous-tend à l'hypothèse réaliste que la sécurité à 100% n'est pas atteinte.

2-L'évaluation des risques

Tenter de sécuriser un système d'information revient à essayer de se protéger

contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de
celui-ci, ou des informations qu'il traite.

2-1-Méthodes d'analyse de risque

Différentes méthodes d'analyse des risques sur le système d'information existent.

Voici les trois principales méthodes d'évaluation disponibles sur le marché
français :

* la méthode EBIOS (Expression des besoins et identification des objectifs de

sécurité), développée par la Direction centrale de la sécurité des systèmes
d'information (DCSSI) ;
* la méthode MEHARI (Méthode harmonisée d'analyse des risques),
développée par le CLUSIF ;
* la méthode OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation), développée par l'Université de Carnegie Mellon
(USA).

La société MITRE, qui travaille pour le Département de la Défense des États-

Unis, a aussi développé en 1998 une méthode d'évaluation des menaces et des
vulnérabilités appliquée à l'industrie aérospatiale, et pouvant être généralisée aux
infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS
signifiant National Aerospace).

Même si le but de ces méthodes est identique, les termes et les expressions
utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la
méthode Feros.

Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI

» mesurables, pertinents et permettant de définir ensuite des objectifs dans le
temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de
performances, on peut désigner comme indicateurs les états d'installation d'outils
5
ou de procédures, mais les indicateurs de résultats sont plus complexes à définir
et à apprécier, à preuve ceux sur les « alertes virales ».

2-2-Informations sensibles

Avant de tenter de se protéger, il convient de déterminer quelles sont les

informations sensibles de l'entreprise, qui peuvent être des données, ou plus
généralement des actifs représentés par des données. Chaque élément pourra
avoir une sensibilité différente.

Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui

constitue un patrimoine informationnel à protéger.

Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments
sensibles.

2-3-Critères de sécurité

La sécurité peut s'évaluer suivant plusieurs critères :

* Disponibilité : garantie que ces éléments considérés sont accessibles au

moment voulu par les personnes autorisées.
* Intégrité : garantie que les éléments considérés sont exacts et complets.
* Confidentialité : garantie que seules les personnes autorisées ont accès aux
éléments considérés.
* Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux
éléments considérés sont tracés et que ces traces sont conservées et exploitables.

Une fois les éléments sensibles déterminés, les risques sur chacun de ces
éléments peuvent être évalués en fonction des menaces qui pèsent sur les
éléments à protéger. Il faut pour cela évaluer :

* l'impact de chaque menace sur chaque élément,

* la probabilité d'occurrence de ces menaces (ou leur potentialité).

Dans la méthode MEHARI, le produit de l'impact et de la potentialité est appelé

« gravité ». D'autres méthodes utilisent la notion de « niveau de risque » ou de «
degré de risque ».

6
2-4-Menaces

Les principales menaces effectives auxquelles un système d’information peut

être confronté sont :

* Un utilisateur du système : l'énorme majorité des problèmes liés à la

sécurité d'un système d'information est l'utilisateur, généralement insouciant ;
* Une personne malveillante : une personne parvient à s'introduire sur le
système, légitimement ou non, et à accéder ensuite à des données ou à des
programmes auxquels elle n'est pas censée avoir accès en utilisant par exemple
des failles connues et non corrigées dans les logiciels ;
* Un programme malveillant : un logiciel destiné à nuire ou à abuser des
ressources du système est installé (par mégarde ou par malveillance) sur le
système, ouvrant la porte à des intrusions ou modifiant les données ; des
données personnelles peuvent être collectées à l'insu de l'utilisateur et être
réutilisées à des fins malveillantes ou commerciales ;
* Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou
une malveillance entraînant une perte de matériel et/ou de données.

2-5-Objectifs

Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de
sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques
identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un
objectif peut porter sur le système cible, sur son environnement de
développement ou sur son environnement opérationnel. Ces objectifs pourront
ensuite être déclinés en fonctions de sécurité, implémentables sur le système
d'information.

3-Moyens de sécurisation d'un système

3-1-Conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de

maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de
sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte

global :

7
 * la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans
certains cas « prise de conscience » (les anglophones utilisent le terme
awareness) ;
* la sécurité de l'information ;
* la sécurité des données, liée aux questions d'interopérabilité, et aux besoins
de cohérence des données en univers réparti ;
* la sécurité des réseaux ;
* la sécurité des systèmes d'exploitation ;
* la sécurité des télécommunications ;
* la sécurité des applications (débordement de tampon), cela passe par
exemple par la programmation sécurisée ;
* la sécurité physique, soit la sécurité au niveau des infrastructures matérielles
(voir la « stratégie de reprise »).

Pour certains, la sécurité des données est à la base de la sécurité des systèmes
d'information, car tous les systèmes utilisent des données, et les données
communes sont souvent très hétérogènes (format, structure, occurrences, …).

3-2-Défense en profondeur

Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le

principe de défense en profondeur revient à sécuriser chaque sous-ensemble du
système, et s'oppose à la vision d'une sécurisation du système uniquement en
périphérie. De façon puriste, le concept de défense en profondeur signifie que
les divers composants d'une infrastructure ou d'un système d'information ne font
pas confiance aux autres composants avec lesquels ils interagissent. Ainsi,
chaque composant effectue lui-même toutes les validations nécessaires pour
garantir la sécurité. En pratique, ce modèle n'est appliqué que partiellement
puisqu'il est habituellement impraticable de dédoubler tous les contrôles de
sécurité. De plus, il peut même être préférable de consolider plusieurs contrôles
de sécurité dans un composant dédié à cette fin. Ce composant doit alors être
considéré comme étant sûr par l'ensemble du système.

3-3-Politique de sécurité

La sécurité des systèmes d'information se cantonne généralement à garantir les

droits d'accès aux données et ressources d'un système, en mettant en place des
mécanismes d'authentification et de contrôle. Ces mécanismes permettent
d'assurer que les utilisateurs des dites ressources possèdent uniquement les
droits qui leurs ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas

empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et

8
de faire en sorte qu'ils puissent utiliser le système d'information en toute
confiance. C'est la raison pour laquelle il est nécessaire de définir dans un
premier temps une politique de sécurité, c'est-à-dire :

* élaborer des règles et des procédures, installer des outils techniques dans les
différents services de l'organisation (autour de l'informatique) ;
* définir les actions à entreprendre et les personnes à contacter en cas de
détection d'une intrusion ;
* sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes
d'informations ;
* préciser les rôles et responsabilités.

La politique de sécurité est donc l'ensemble des orientations suivies par une
entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la
direction de l'organisation concernée, car elle concerne tous les utilisateurs du
système.

3-4-Responsable de la sécurité du système d'information

Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du

secteur public et administrations qui ont désigné et emploient, à plein temps ou
non, des « responsables de la sécurité des systèmes d'information ». Les tâches
de la fonction dépendent du volontarisme politique ; les cadres ou techniciens
concernés ont en général une bonne expérience informatique alliée à des qualités
de pédagogie, conviction, etc. Peu à peu, le management de la sécurité
informatique s'organise en domaines ou sous-domaines des services
informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et
intègrent les contrats de plan ou de programmes de l'entreprise.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits

d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou
au RSSI (Responsable de la sécurité des systèmes d'information), si ce poste
existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc
de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci
soient en cohérence avec la politique de sécurité retenue. De plus, étant donné
qu'il est le seul à connaître parfaitement le système, il lui revient de faire
remonter les informations concernant la sécurité à sa direction, éventuellement
de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point
d'entrée concernant la communication aux utilisateurs des problèmes et
recommandations en termes de sécurité.

9
3-5-Modèles formels de sécurité

Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau
E4 de TCSEC au minimum), nous définissons formellement le concept de
sécurité dans un modèle dont les objectifs sont les suivants :

* exprimer les besoins de sécurités intégrées dans un contexte informatique,

* fournir des moyens pour justifier que le modèle est cohérent,
* fournir des moyens permettant de convaincre que les besoins sont satisfaits,
* fournir des méthodes permettant de concevoir et d'implanter le système.

Il existe plusieurs modèles formels de sécurité :

* Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité,

statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes
informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé
Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles :
celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion
(gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et
Sandhu (gestion d'accès par mandat, confidentialité, statique).

* Le modèle de non-déduction (gestion d'accès par mandat, confidentialité,

dynamique) modélisant le flux d'informations en utilisant des concepts de la
logique. Les modèles de sécurité basés sur le principe de flux d'informations ont
leur utilité dans le contrôle des accès indirects à l'information : ils mettent en
évidence le problème des canaux cachés.

* Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle

Take-Grant et le modèle SPM.

3-6-Plan de continuité d'activité

Face à la criticité croissante des systèmes d'information au sein des entreprises,

il est aujourd'hui indispensable de disposer d'un plan de sécurisation de l'activité.

Ce plan se décline en deux niveaux distincts :

* le Plan de Reprise d'Activité (PRA) aussi appelé reprise "à froid" qui permet
un redémarrage « rapide » de l'activité après un sinistre, avec restauration d'un
système en secours avec les données de la dernière sauvegarde
* le Plan de Continuité d'Activité (PCA) également appelé reprise "à chaud"
qui, par une redondance d'infrastructure et une réplication intersites permanente

10
des données, permet de maintenir l'activité en cas de sinistres majeur de l'un des
sites.
Chacun de ces plans tente de minimiser les pertes de données et d'accroitre la
réactivité en cas de sinistre majeur ; un PCA efficace, doit en principe, être
quasi-transparent pour les utilisateurs, et garantir l'intégrité des données sans
aucune perte d'information.
La mise en œuvre de telle ou telle solution est souvent déterminée par les
contraintes fonctionnelles et budgétaires.

3-7-Moyens techniques

De nombreux moyens techniques peuvent être mis en œuvre pour assurer une
sécurité du système d'information. Il convient de choisir les moyens nécessaires,
suffisants, et justes. Voici une liste non exhaustive de moyens techniques
pouvant répondre à certains besoins en termes de sécurité du système
d'information :
* Contrôle des accès au système d'information ;
* Surveillance du réseau : sniffer, système de détection d'intrusion ;
* Sécurité applicative : séparation des privilèges, audit de code, rétro-
ingénierie ;
* Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants
(antivirus, anti pourriel (SPAM), anti-espiogiciel (spyware) ;
* Cryptographie : authentification forte, infrastructure à clés publiques,
chiffrement.

4-Marché de la sécurité informatique

Un marché mondial s'est constitué dans ce domaine qui en 2007 représentait —

selon la société d'étude Gartner — un chiffre d'affaire mondial de 10,4 milliards
de dollars en pleine progression (augmentation de 20 % par rapport à 2006, en
raison notamment de l'augmentation du nombre de menaces (100 %
d'augmentation de 2004 à 2007 selon la société russe Kaspersky[1]) et en raison
de la croissance du parc d'ordinateurs).

Le leader de ce marché est le groupe californien Symantec avec 26,6% des parts
de marché (et 50 millions d'ordinateurs protégés), suivi de McAfee (11,8 %),
puis Trend Micro (7,8), CA (4 %) et EMC (4%).

En 2007, Kaspersky couvrait 38 % du marché français de l'anti-virus et 18 %

des suites de protection pour l'Internet.

11