Sécurité

1. Introduction

Les systèmes d’information prennent de plus en plus une place stratégique au sein des entreprises.
Ainsi la notion du risque lié à ces derniers devient une source d’inquiétude et une donnée importante
à prendre en compte, ceci en partant de la phase de conception d’un système d’information jusqu’à
son implémentation et le suivi de son fonctionnement.

Les pratiques associées à la sécurité des systèmes d’information constituent un point à l’importance
croissante dans l’écosystème informatique qui devient ouvert et accessible par utilisateurs,
partenaires et fournisseurs de services de l’entreprise. Il devient essentiel pour les entreprises de
connaître leurs ressources en matière de système d’information et de définir les périmètres sensibles
à protéger afin de garantir une exploitation maîtrisée et raisonnée de ces ressources.

Par ailleurs, les nouvelles tendances de nomadisme et de l’informatique « in the Cloud » permettent,
non seulement, aux utilisateurs d’avoir accès aux ressources mais aussi de transporter une partie du
système d’information en dehors de l’infrastructure sécurisée de l’entreprise. D’où la nécessité de
mettre en place des démarches et des mesures pour évaluer les risques et définir les objectifs de
sécurité à atteindre.

Ainsi la sécurité informatique est un ensemble de moyens techniques, organisationnels, juridiques et

humains nécessaires pour conserver, rétablir et garantir la sécurité du système d’information

On peut déduire de ces constats que la démarche de sécurité informatique est une activité
managériale des systèmes d’information et qu’il convient aussi d’établir un tableau de bord de
pilotage associé à une politique de sécurité comprenant les organes vitaux constituant une
entreprise.

2. Les menaces informatiques

La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un

système informatique. En termes de sécurité informatique les menaces peuvent être le résultat de
diverses actions en provenance de plusieurs origines :

Origine opérationnel:

Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat d’un
bogue logiciel (Buffer Overflows, format string …etc.), d’une erreur de filtrage des entrées utilisateur
(typiquement les XSS et SQL injection), d’un dysfonctionnement de la logique de traitement ou d’une
erreur de configuration

Origine physique:

Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer notamment les
désastres naturels, les pannes ou casses matérielles, le feu ou les coupures électriques.

Origine humaine:

Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la
conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi elles
peuvent être le résultat d’une erreur de conception ou de configuration comme d’un manque de
sensibilisation des utilisateurs face au risque lié à l’usage d’un système informatique.
Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma directeur
pour faire face à ces menaces et garantir un fonctionnement sain et efficace des systèmes
d’information.

La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité en

instaurant une politique de sécurité au sein des organismes et en palliant à certaines faiblesses à la
fois organisationnelles et technologiques.

3. Enjeux de la sécurité des systèmes d’information

Les conséquences d'une mauvaise sécurisation peuvent concerner les organisations, mais aussi la vie
privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles
comme leurs coordonnées bancaires, leurs situations patrimoniales, leurs codes confidentiels, etc.
De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations
légales régies par la Loi Informatique et Libertés.

Aujourd'hui, il est généralement admis que la sécurité ne peut être garantie à 100 % et requiert donc
le plus souvent la mobilisation d'une panoplie de mesures pour réduire les chances de pénétration
des systèmes d'information.

La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont
destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.

Authentification: les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut
pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que
par son identifiant, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément
que lui-seul connaît. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir
la confiance dans les relations d'échange.

Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon
fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet
objectif utilise généralement des méthodes de calculs de checksum ou de hachage.

Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille
durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et
régulièrement.

D'autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes
d'information, tels que :

La traçabilité (ou « preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés
sont tracés et que ces traces sont conservées et exploitables.
La non-répudiation et l'imputation : aucun utilisateur ne doit pouvoir contester les opérations qu'il a
réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s'attribuer les actions
d'un autre utilisateur.

Ainsi, dans le cas de notre projet d’étude, nous avons fait usage de la cryptographie pour dissimuler
des messages aux yeux de certains utilisateurs. Cette utilisation a aujourd’hui un intérêt d’autant plus
grand que les communications via internet circulent dans des infrastructures dont on ne peut
garantir la fiabilité et la confidentialité. Désormais, la cryptographie sert non seulement à préserver
la confidentialité des données mais aussi à garantir une intégrité et une authenticité sans égale.

Définition de la cryptographie :

La cryptographie est l’art de chiffrer, coder les messages est devenue aujourd'hui une science à part
entière. Au croisement des mathématiques, de l'informatique, et parfois même de la physique, elle
permet ce dont les civilisations ont besoin depuis qu'elles existent : le maintien du secret. Pour éviter
une guerre, protéger un peuple, il est parfois nécessaire de cacher des choses.

Mécanisme de la cryptographie

Un algorithme de cryptographie ou un chiffrement est une fonction mathématique utilisée lors du

processus de cryptage et de décryptage. Cet algorithme est associé à une clé ( un mot, un nombre ou
une phrase), afin de crypter une donnée. Avec des clés différentes, le résultat du cryptage variera
également. La sécurité des données cryptées repose entièrement sur deux éléments :
l’invulnérabilité de l’algorithme de cryptographie et la confidentialité de la clé.

Qu’entend-on par clé ?

On appelle clé une valeur utilisée dans un algorithme de cryptographie, afin de chiffrer une donnée. Il
s’agit en fait d’un nombre complexe dont la taille se mesure en bits. On peut imaginer que la valeur
correspondant à 1024 bits est absolument gigantesque. Voir aussi bits bytes. Plus la clé est grande,
plus elle contribue à élever la sécurité à la solution. Toutefois, c’est la combinaison d’algorithme
complexe et de clés importantes qui seront la garantie d’une solution bien sécurisée. Les clés doivent
être stockées de manière sécurisée et de manière à ce que seul leur propriétaire soit en mesure de
les atteindre et de les utiliser.

Confidentialité et algorithmes de chiffrement

La confidentialité est le premier problème posé à la cryptographie. Il se résout par la notion de

chiffrement. Il existe deux grandes familles d’algorithmes cryptographiques à base de clef : Les
algorithmes à clef secrète ou algorithmes symétriques, et les algorithmes à clef publique ou
algorithmes asymétriques

 Chiffrement symétrique ou clef secrète : dans la cryptographie conventionnelle, les clefs de

chiffrement et de déchiffrement sont identiques : c’est la clef secrète, qui doit être connue
des tiers communiquant et d’eux seuls. Le procédé de chiffrement est dit symétrique. Les
algorithmes symétriques sont de deux types :

• Les algorithmes de chiffrement en continu, qui agissent sur le message en clair un bit à la fois ;
• Les algorithmes de chiffrement par bloc, qui opèrent sur le message en clair par groupes de bits
appelés blocs.

Les principaux algorithmes à clé privée sont :

1. Blowfish / Twofish / Threefish

2. DES/3DES
3. Serpent
4. IDEA
5. AES

 Chiffrement asymétrique ou à clef public : avec les algorithmes asymétriques, les clefs de
chiffrement et de déchiffrement sont distinctes et ne peuvent se déduire l’une de l’autre. On
peut donc rendre l’une des deux publique tandis que l’autre reste privée. C’est pourquoi on
parle de chiffrement à clef publique. Si la clef publique sert au chiffrement, tout le monde
peut chiffrer un message, que seul le propriétaire de clef privé pourra déchiffrer. On assure
ainsi la confidentialité. Certains algorithmes permettent d’utiliser la clef privée pour chiffrer.
Dans ce cas, n’importe qui pourra déchiffrer, mais seul le possesseur de clef privée peut
chiffrer.

Evaluer la robustesse d’un crypto-système

Évaluer la robustesse d’un crypto-système Comme nous l’avons vu, les systèmes de chiffrement
symétriques et asymétriques reposent sur des méthodes mathématiques complètement différentes.
Ces deux familles de systèmes sont d’un usage complémentaire, ils sont utilisés conjointement dans
les réalisations techniques que nous employons quotidiennement. Il convient d’avoir une conscience
claire du fait que la confiance que l’on peut placer en eux, ou pas, ou en d’autres termes leur
robustesse, repose sur des hypothèses de nature radicalement différentes dans les deux cas.

Robustesse du chiffrement symétrique

La robustesse d’un système de chiffrement symétrique repose sur l’impossibilité de deviner la clé
utilisée : ce qui découle d’une précaution et de trois qualités :

• la précaution est que les utilisateurs doivent éviter de divulguer la clé et la stocker sur un support
convenablement protégé, cela semble évident mais souvent cette condition n’est pas vérifiée ;

• l’espace des clés doit être vaste, pour parer aux attaques par force brute qui consistent à tenter le
déchiffrement avec toutes les clés possibles successivement ; autrement dit, la clé doit comporter
beaucoup de chiffres ;

• l’algorithme doit être lui-même robuste, c’est-à-dire tel que l’examen du message chiffré ne doive
pas révéler d’indices de nature à aider le déchiffrement, soit par la découverte de la clé, soit par
l’élucidation directe du message ;

• enfin la réalisation du logiciel doit être correcte, et c’est généralement là que gisent les failles ; les
algorithmes robustes sont complexes et subtils, une programmation maladroite peut réduire de
façon spectaculaire la taille réelle de l’espace des clés ; or c’est de la taille de l’espace des clés que
découle l’entropie du cryptosystème, qui est la mesure mathématique de sa quantité d’incertitude
ou d’aléa.

Pour pouvoir décerner un certificat de robustesse à un système de chiffrement symétrique, on doit

démontrer que l’attaque par force brute est l’attaque optimale.

Ensuite, cela acquis, la guerre entre cryptographes et cryptanalystes se résume à une question de
longueur de clé et de puissance de calcul.

En pratique, les assaillants réels cherchent (et trouvent) des failles de réalisation dans les systèmes
réels, cependant que les assaillants du monde de la recherche constituent des grilles de calcul
intercontinentales pour casser les algorithmes, ce qui est utile aux progrès de la science, mais peu
utilisable par des cyber-criminels.

Robustesse du chiffrement asymétrique

La robustesse des cryptosystèmes à clés publiques repose sur deux piliers :

• La confidentialité de la clé privée de celui qui l’utilise ; en effet la divulgation de cette clé privée
réduit à néant la protection offerte par le système.

• Les résultats de la théorie des nombres, ou plutôt l’absence de tels résultats, qui nous dit que la
factorisation de très grands nombres est un problème difficile, ainsi d’ailleurs que le problème du
logarithme discret (ici, le terme difficile doit être entendu comme insoluble en pratique). C’est-à-dire
que tous ces systèmes sont à la merci d’un progrès inattendu de la théorie mathématique, qui
viendrait par exemple offrir aux cryptanalystes un nouvel algorithme de factorisation rapide.

Comme pour le chiffrement symétrique, les nombres choisis comme bases du système doivent être
suffisamment grands pour décourager les attaques par force brute, et la réalisation des programmes
doit être correcte.

Définitions des algorithmes utilisés :

AES :

SERPENT :

TWOFISH :

Mot de passe :
6. Conclusion

La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre en
compte par toute entreprise qui désire disposer d’un ensemble d’outils et de méthodes qui lui
permettent et assurent la gouvernance de son système d’information. Ainsi plusieurs méthodes
d’analyse des systèmes informatiques proposent des démarches de certification afin de garantir une
image pérenne aux entreprises intégrant les processus de sécurité dans la liste de leurs
préoccupation managériale.

Bien évidement la sécurité à 100% reste un idéal à atteindre, surtout devant le large éventail des
menaces qui mettent en danger l’exploitation d’un système d’information. Ainsi il est important de
bien formaliser une politique de sécurité en prenant en compte les risques réelle qu’encourt un
système informatique et en évaluant les coûts que peuvent engendrer les problèmes résultants de
ces risques par rapport au coût nécessaire à la mise en place des solutions palliative à ces problèmes.

http://dspace.univ-tlemcen.dz/bitstream/112/6836/1/Etude-comparative-entre-la-cryptographie.pdf

https://www.nbs-system.com/blog/introduction-a-la-securite-informatique/

https://fr.wikipedia.org/wiki/Sécurité_des_systèmes_d%27information