27/09/2018

Sécurité Informatique
— Intervenant :
— Dr. Zied TRIFA: Assistant en IG à l’ISAE-Gafsa,
Sécurité Informatique email: trifa.zied@gmail.com
— Bibliographie:
Responsable : Zied Trifa — Sécurité informatique, Ethical hacking, Apprendre l'attaque pour
mieux se défendre. Editions ENI.
trifa.zied@gmail.com — Laurnt Bloch, Christophe Wolfhugel : Sécurité informatique,
principes et méthodes à l’usages des DSI, RSSI et administrateurs.
Edition Eyrolles.
— Cédric Llorens, Laurent Levier, Denis Valois : Tableaux de bord de la
sécurité réseau. Edition Eyrolles.
— Solange Ghernaouti-Hélie : Sécurité informatique et réseaux..
3ème Année LF- Informatique de Gestion
Edition Eyrolles.

2
Années universitaires 2018-2019

Pourquoi ce cours?
— Objectifs :

— Sensibiliser l’étudiant sur l'importance de la sécurité informatique et le lui apprendre

Pourquoi ce Cours ? à maîtriser les technologies utilisées en sécurité informatique.

— Comprendre et détecter les attaques sur un système informatique.

— Exploiter et définir l’impact et la portée d’une vulnérabilité.

— Corriger les vulnérabilités.

— Sécuriser un réseau et intégrer les outils de sécurité de base.

3 4

1
 27/09/2018

Plan de cours

— Chapitre 1 : Concepts de base de la sécurité informatique

— Chapitre 2 : Les menaces
— Chapitre 3 : Sécurité des systèmes informatiques Chapitre 1 : Concepts de base de
— Chapitre 4 : Cryptographie la sécurité informatique
— Chapitre 5 : Politique de sécurité

5 6

Plan du chapitre Concepts de base de la sécurité informatique

1. Introduction 1. Introduction :
§ Système d’information : Qu’est-ce qu’un système d’information ?
2. Exigences de la sécurité — Moyens humains,

— Moyen matériels,
3. Domaines d’intervention de la sécurité
— Méthodes : Traitement de l’information.

§ Système informatique : Qu’est-ce qu’un système informatique ?

4. Architecture de la sécurité
— Moyens humains,

5. Etude des risques — Moyen matériels,

— Méthodes : Traitement automatisé de l’information.

6. Principaux défauts de sécurité § Sécurité : Qu’est-ce que la sécurité ?

— Les systèmes d’informations,

— Les systèmes informatique.

7 8

2
 27/09/2018

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

2. Exigences de la sécurité : 2. Exigences de la sécurité :
§ La sécurité informatique c'est l'ensemble des moyens techniques, § La disponibilité :
organisationnels, juridiques et humains nécessaires pour conserver, rétablir, et
garantir la sécurité du système d'information et du système et ressource § L’accessibilité : Une ressource doit être accessible, avec un temps de
informatiques contre des menaces accidentelles ou intentionnelles. réponse acceptable.

§ L’ensemble des moyens (solutions) doivent contribuer à préserver au moins les § La continuité de service : Ce paramètre est mesuré par une montée en charge
critères suivant : du système afin de s'assurer de la totale disponibilité du service.

§ La disponibilité, § La probabilité de bon fonctionnement : De plus des pertes de données sont

possibles si l'enregistrement et le stockage ne sont pas gérés correctement.
§ L’intégrité de l’information,

§ La confidentialité.

9 10

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

2. Exigences de la sécurité : 2. Exigences de la sécurité :
§ L’intégrité : § La confidentialité :

— L'intégrité permet de certifier que les données, les traitements ou les services — La confidentialité est le maintien du secret des informations.
n'ont pas été modifiés, altérés ou détruits tant de façon intentionnelle
qu'accidentelle. — Pas de divulgation à des tiers non autorisés.

— L'altération est principalement occasionnée par le média de transmission — Quelques actions permettant d'assurer la confidentialité des données
mais peut provenir du système d'information.

— Limiter leurs accès par un mécanisme de contrôle d'accès.

— Il faut également veiller à garantir la protection des données d'une écoutes
— Transformer les données par des procédures de chiffrement.
actives sur le réseau.

11 12

3
 27/09/2018

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

2. Exigences de la sécurité : 2. Exigences de la sécurité :
§ L’identification ou l’authentification : § La non-répudiation :

— L'identification peut être vu comme un simple login de connexion sur un — La non-répudiation est le fait de ne pouvoir nier ou rejeter qu'un évènement
système. a eu lieu.

— L'authentification peut être un mot de passe connu seulement par
l'utilisateur.
— Ces mesures doivent être mises en place afin d'assurer
— La confidentialité et l'intégrité des données d'une personne.
— La non-répudiation, c'est à dire qu'une personne identifiée et authentifiée
ne peut nier une action.
— A cette notion sont associées :
— L'imputabilité : une action a eu lieu et automatiquement un
enregistrement, preuve de l'action, est effectué
— La traçabilité : mémorisation de l'origine du message
— L'auditabilité : capacité d'un système à garantir la présence
d'informations nécessaires à une analyse ultérieure d'un évènement.

13 14

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

3. Domaines d’intervention de la sécurité : 3. Domaines d’intervention de la sécurité :
§ Tous les domaines de l'informatique sont concernés par la sécurité d'un système § Sécurité physique : maitrise des systèmes et de l ’environnement
d'information. § Les normes de sécurité;
§ La protection des sources énergétiques (alimentation, etc.);
§ En fonction de son domaine d'application, la sécurité informatique se décline § La protection de l’environnement (incendie, température, humidité,
en : etc.);
§ La protection des accès (protection physique de équipement, locaux de
§ Sécurité physique,
répartition, tableaux de connexion, infrastructure câblée, etc.);
§ Sécurité de l'exploitation,
§ La sureté de fonctionnement et la fiabilité des matériels (composants,
§ Sécurité logique, câbles, etc.);
§ Sécurité applicative, § La redondance physique;
§ Sécurité des télécommunications. § Le marquage des matériels;
§ Le plan de maintenance préventive (test, etc.) et corrective (pièce de
rechange, etc.);
§ Etc.

15 16

4
 27/09/2018

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

3. Domaines d’intervention de la sécurité : 3. Domaines d’intervention de la sécurité :
§ Sécurité de l’exploitation : lié au bon fonctionnement des systèmes § Sécurité logique : mécanismes de sécurité par logiciel
informatiques § Mise en œuvre d'un système de contrôle d'accès logique s'appuyant sur
§ Plan de sauvegarde; un service d'authentification, d'identification et d'autorisation;
§ Plan de secours; § Mise en place des dispositifs pour garantir la confidentialité dont la
§ Plan de continuité; cryptographie;
§ Plan de tests; § La gestion efficace des mots de passe et des procédures
§ Inventaires réguliers et si possible dynamique;
d'authentification;
§ Gestion du parc informatique; § Mise en place des antivirus et de sauvegarde des informations sensibles;
§ La classification des données pour qualifier leur degré de sensibilité
§ Gestion des configuration et des mises à jour;
(normale, confidentielle, top secrète, ... ).
§ Gestion des incidents et suivi jusqu’ à leur résolution;
§ Analyse de fichiers de journalisation et de comptabilité;
§ Etc.

17 18

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

3. Domaines d’intervention de la sécurité : 3. Domaines d’intervention de la sécurité :
§ Sécurité applicative : Faire un développement pertinent § Sécurité des télécommunications : une connectivité fiable et de qualité
§ Une méthodologie de développement; § La mise en place d’un canal de communication fiable entre les
§ La robustesse des applications; correspondants (nombre et nature des éléments intermédiaires);
§ Des contrôles programmés;
§ Des jeux de tests; § La réalisation d'une infrastructure réseau sécurisée au niveau :

§ Un plan de migration des applications critiques; § des accès,

§ La validation et l'audit des programmes; § des protocoles de communication,
§ des systèmes d'exploitation et
§ Un plan d'assurance sécurité;
§ Etc. § des équipements.

19 20

5
 27/09/2018

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

4. Architecture de la sécurité : 5. Etude des risques :
§ Disposer d’ un cadre architectural permet d’ avoir un référentiel de sécurité qui § En général, Le risque en terme de sécurité est caractérisé par l’équation
facilite la réalisation opérationnelle de la sécurité ainsi que son évaluation lors suivante :
d’audit.
§ Elle permet de visualiser toutes les dimensions de la sécurité.

— La menace représente le type d'action susceptible de nuire dans l'absolu.

— La vulnérabilité (appelée parfois faille ou dysfonctionnement) représente le

niveau d'exposition face à la menace dans un contexte particulier.

— La contre-mesure est l'ensemble des actions mises en œuvre en prévention

de la menace.

§ Cette architecture est indispensable si l'on veut prendre en compte l'ensemble des
problèmes de sécurité d'une entreprise.
21 22

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

5. Etude des risques : 5. Etude des risques :
§ Les risques humains : § Les risques humains :
— La malveillance :
— Ce sont les plus importants, même s'ils sont le plus souvent ignorés ou minimisés.
— Introduire en connaissance de cause des virus,
— Ils concernent les utilisateurs mais également les informaticiens eux-mêmes. — Introduire volontairement de mauvaises informations dans une base de
— La maladresse : données.
— Commettre des erreurs, — Etc.
— L'ingénierie sociale : est une méthode pour obtenir d'une personne des
— Exécuter un traitement non souhaité,
informations confidentielles
— Effacer involontairement des données ou des programmes, — Se faire passer pour quelqu’un que l’on est pas,
— Etc. — Demander des informations personnelles,
— Etc.
— L'inconscience et l'ignorance : — L’espionnage :
— Introduire des programmes malveillants sans le savoir, — Obtenir des informations sur des activités concurrentes,
— Réaliser des manipulations inconsidérées, — procèdes de fabrication, projets en cours, futurs produits, politique de
prix, clients et prospects, etc.
— Etc.
23 24

6
 27/09/2018

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

5. Etude des risques : 5. Etude des risques :
§ Les risques matériels : § Les précautions :
— Ils sont liés aux défauts et pannes inévitables que connaissent tous les systèmes — Dans le cas des risques matériels il est possible de se prémunir :

matériels et logiciels.
— Redondance des matériels : la probabilité ou la fréquence de pannes d'un
— Incidents liés au matériel
équipement est représentée par un nombre très faible. En doublant ou en
triplant (ou plus) un équipement, on divise le risque total par la
— Incidents liés au logiciel probabilité de pannes simultanées.

— Incidents liés à l’environnement — Dispersion des sites : un accident (incendie, tempête, tremblement de
terre, attentat, etc.) a très peu de chance de se produire simultanément en
plusieurs endroits distants.

— Procédures de contrôle indépendants : ils permettent bien souvent de

déceler les anomalies avant qu'elles ne produisent des effets dévastateurs.
Il est possible de réaliser des audits de sécurité.
25 26

Concepts de base de la sécurité informatique Concepts de base de la sécurité informatique

5. Etude des risques : 6. Principaux défauts de la sécurité :
— Les principaux risques restent : § Les défauts de sécurité d’un système d’information les plus souvent constatés
— câble arraché, sont :
— coupure secteur, — Installation des logiciels et matériels par défaut.
— crash disque, — Mises à jours non effectuées.
— mauvais profil utilisateur,
— Mots de passe inexistants ou par défaut.
— test du dernier CD Bonux….
— Services inutiles conservés (Netbios...).
— Traces inexploitées.
— Voici quelques éléments pouvant servir de base à une étude de risque:
— Pas de séparation des flux opérationnels des flux d’administration des
— Quelle est la valeur des équipements, des logiciels et surtout des informations ?
systèmes.
— Quel est le coût et le délai de remplacement ?
— Procédures de sécurité obsolètes.
— Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs
en réseau (programmes d'analyse des paquets, logs...). — Eléments et outils de test laissés en place dans les configurations en
— Quel serait l’impact sur la clientèle d'une information publique concernant des
production.
intrusions sur les ordinateurs de la société ? — Authentification faible.
— Etc.
27 28