Introduction à la sécurité informatique

1. Définition d’un SI :

Le système d'information est généralement défini par l'ensemble des

données et des ressources matérielles et logicielles de l'entreprise
permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il
convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que
les ressources matérielles ou logicielles d'une organisation sont
uniquement utilisées dans le cadre prévu.

Pour les besoins de ce cours on appelle " Système d'Information (SI) "

« Un ensemble de machines connectées entre elles de façon

permanente ou temporaire permettant à une communauté de
personnes physiques ou morales d'échanger des données (sons,
images, textes, etc.). »

Selon cette définition, des systèmes aussi variés que le réseau d'un
opérateur de téléphonie, le site Internet d'un organisme tel qu’un
ministère ou celui de Sonatrach, l'ordinateur individuel du particulier, le
réseau de commandement des forces armées sont des systèmes
d'information.

Une segmentation des systèmes d’information en trois sous-systèmes

principaux permet de mieux appréhender le champ couvert et leur
complexité et en conséquenc les enjeux de sécurité sous-jacents :

Les réseaux informatiques :

- Internet et donc toutes les applications ou services qui y sont

associés (commerce électronique, banques en ligne,…) et les
équipements nécessaires à son fonctionnement (serveurs,
routeurs,…);
- Les réseaux locaux d’entreprises et intra-entreprises ;
- Les réseaux de l’Etat et des organisations publiques ;
- Les réseaux des infrastructures critiques;
- Les équipements individuels des particuliers.

1
Les réseaux de communication :

- Les réseaux de satellites de communication;

- Les réseaux sans fil (WiMax1, WiFi, Bluetooth,…) ;
- les réseaux de localisation GPS ou Galiléo ;
- Les réseaux téléphoniques filaires ;
- Les réseaux d’opérateurs de téléphonie mobile (GSM, GPRS,
UMTS).

Les réseaux de diffusion de télévision (TNT-Télévision Numérique

terrestre, câble) et de radio.

2. La sécurité des SI : SSI

La Sécurité des Systèmes d’Information (SSI) est l’ensemble des moyens

techniques, organisationnels, juridiques et humains nécessaires et mis en place
pour conserver, rétablir, et garantir la sécurité de l'information et du système
d'information.

Les systèmes d'information s'appuient en règle générale sur des systèmes

informatiques pour leur mise en œuvre. De tels systèmes se prêtent à des
menaces de types divers, susceptibles d'altérer ou de détruire l'information (on
parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne
doivent pas en avoir connaissance (on parle de « confidentialité de
l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on
parle alors de « disponibilité du système»).

Les risques qui pèsent sur la sécurité des systèmes d’information

sont fonction de la combinaison des menaces qui pèsent sur les
ressources à protéger, des vulnérabilités relatives à ces ressources et de
la sensibilité du flux d’information qui passe dans ces ressources.

Évaluer sa sécurité demande de savoir vers quoi on veut tendre et

contre quoi on cherche à se protéger. Il apparaît que la sécurité des
systèmes d'information s'apparente à de la gestion de risques.

Les questions qu’on devra se poser sont les suivantes : ISO17799-

ISO27002 I17799- ISI2ISOISOSO 17799, ISO 2700 ISO 17799, ISO
27002 2

1
WiMAX (acronyme pour Worldwide Interoperability for Microwave Access) désigne un standard de communication sans fil.
Aujourd'hui surtout utilisé comme mode de transmission et d'accès à Internet haut débit, portant sur une zone géographique étendue,
basée sur le standard de transmission radio 802.16 validé en 2001 par l'organisme international de normalisation IEEE.
Idéal pour les entreprises et les usagers dans les zones non desservies 

2
 1. Que protéger ?  Liste des biens à protéger
2. De quoi les protéger ?  Liste des menaces
3. Quels sont les risques ?  Liste des impacts2 et
probabilités
4. Comment protéger l’entreprise ?  Liste des contre-
mesures

 Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en

effet la responsabilité de garantir la sécurité de ses propres
systèmes d’information, la continuité de fonctionnement des
institutions et des infrastructures vitales pour les activités
socioéconomiques du pays et la protection des entreprises et des
citoyens.

 De leur côté, les entreprises doivent protéger leur système

d’information de la concurrence et de la malveillance qui comprend
l’ensemble de leur patrimoine (propriété intellectuelle et savoir
faire) et porte leur stratégie de développement.

L’environnement lié aux technologies de l’information et de la

communication est la cible de nombreuses menaces. L’ouverture des
réseaux et leur complexité croissante associant des acteurs aux
multiples profils, ont renforcé la vulnérabilité des systèmes d’information.

Détruire, altérer, accéder à des données sensibles dans le but de les

modifier ou de nuire au bon fonctionnement des réseaux, les motivations
sont diverses et fonction de la nature des informations recherchées et de
l’organisme visé.

L’espionnage d’Etat ou industriel visant à intercepter des informations

d’adversaires ou de concurrents constitue une autre pratique. Au-delà de
la dimension offensive propre aux agences de sécurité
gouvernementales, les atteintes au secret industriel sont de plus en plus
systématisées. Le vol des secrets commerciaux est lui aussi en
constante augmentation. Il se chiffre en centaine de millions de dollars.

2
Fermeture de l’entreprise, perte financière, perte de contrat, altération de son image, litige…

3
L’exemple le plus spectaculaire porte sur la révélation, en juin 2005, des
agissements d’une entreprise israélienne qui « louait » un cheval de
Troie à ses clients ; une affaire qui a conduit à l'arrestation de plusieurs
dirigeants d'entreprises à travers le monde. En s'adressant à cette
société, un client demandait tout simplement à ce que le produit soit
installé dans le système d'information de la cible, pour en extraire en
toute impunité toutes les informations qu'il désirait.

3. Objectifs de la sécurité des systèmes d’information

Analyser et comprendre les menaces et les vulnérabilités nécessitent au

préalable de préciser deux éléments inhérents à la politique de sécurité :
 Il y a asymétrie entre les moyens de l’attaquant (sans limite) et ceux
du défenseur (très contraint). Le défenseur doit tout imaginer sans
pouvoir riposter car il n’y a pas de légitime défense en SSI tandis que
l’attaquant s’autorise tout ce qui est possible.

 La sécurité n’est pas une fin en soi mais résulte toujours d’un
compromis entre :
 un besoin de protection ;
 le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…) ;
 les fonctionnalités toujours plus tentantes offertes par les
technologies (sans fil, VoIP(Voice over IP )…) ;
 un besoin de mobilité (technologies mobiles…) ;
 des ressources financières et des limitations techniques.

Les défaillances en matière de sécurité d’un système (cela est vrai quelque
soit le domaine), résultent de la conjonction simultanée ou séparée de deux
facteurs :

1. L’erreur humaine quelle soit volontaire ou non.

2. Les faiblesses du système sous forme d’anomalies ou de défauts d’entretien.

La SSI a donc pour objet de proposer des solutions organisationnelles

et/ou techniques susceptibles de protéger les informations les plus
sensibles en priorité mais également les autres.
4
 L’objectif de la sécurisation est donc la prise de conscience du
risque, son évaluation et la mise en œuvre de parades pour le
minimiser.

La gestion du risque et la SSI participent d’une même démarche

globale, fondée sur l’identification des attaques potentielles, mais
également sur l’idée qu’aucun système d’information n’est pas
invulnérable car il n’est pas possible d’envisager de se protéger à 100%
des codes malveillants (comme par exemple les virus ou les chevaux de
Troie.

Des exemples des raisons de ce manque d’efficacité contre les menaces

sont :
 les pare-feux(Firewall) protègent uniquement des attaques
résiduelles (i.e. qui ne correspondent pas aux services
offerts);
 les algorithmes cryptographiques secrets ne sont pas tous
fiables;
 les solutions de détection d'intrusion peuvent être trompées ;
 la SSI repose sur des outils mais également sur un facteur
humain;
 il n’est pas possible de tester les systèmes et les
applications dans des délais raisonnables au regard de leur
déploiement auprès des utilisateurs.

La sécurité des systèmes d’information vise généralement cinq (5)

objectifs :

1. La confidentialité : consistant à assurer que seules les entités

autorisées aient accès aux ressources
Propriété d'une information qui n'est ni disponible, ni divulguée aux
personnes, entités ou processus non autorisés. [ISO 7498-2]
Elle consiste donc à assurer que seules les personnes autorisées aient
accès aux ressources échangées ; et à rendre l'information inintelligible à
d'autres personnes que les seuls acteurs de la transaction.
Exprimer les besoins de confidentialité, c'est déterminer les utilisateurs
autorisés et la limite de leurs prérogatives.

5
 Formuler des exigences en matière de confidentialité d'une information
revient à énoncer des critères sur lesquels se fonde la légitimité des accès
à cette information :
 critères liés à la personne : identité, appartenance à un
groupe, habilitation etc .
 critères liés à la fonction : droits, autorisations, besoin d'en
connaître, besoin d'en user, etc.
 critères liés à un rôle : responsabilités, délégations,
nécessités, etc.
2. L'intégrité: il s'agit de garantir que les fonctions et données
sensibles ne sont pas altérées, et conservent toute leur pertinence;
c'est-à-dire garantir que les données sont bien celles qu'on croit être
Elle permet de garantir donc que les données sont bien celles que l'on croit
être;
Vérifier l'intégrité des données consiste à déterminer si les données n'ont
pas été altérées durant la communication (de manière fortuite ou
intentionnelle).
Propriété assurant que des données n'ont pas été modifiées ou
détruites de façon non autorisée [ISO 7498-2].

Elle représente la garantie que le système et l'information traitée ne

sont modifiés que par une action volontaire et légitime [IGI 500]

L'intégrité (ou Fidélité) consiste à garantir un maintient correct entre les

relations spécifiques des différentes données et l'échange des données
entre utilisateurs ou processus sans avoir subi d'altération.
L'intégrité rassemble les fonctions suivantes :
 Les fonctions destinées à garantir que des données n'ont
pas été modifiées d'une manière non autorisées,
 Les fonctions permettant de déceler ou d'empêcher toute
perte, ajout ou modification lorsque les données sont
échangées,
 Les fonctions interdisant la modification de la source ou
de la destination du transfert de données.

3. La disponibilité: il s'agit de garantir qu'une ressource sera

accessible au moment précis où quelqu'un souhaitera s'en servir ;
la continuité de service, permettant de maintenir le bon fonctionnement
des systèmes d'information ;
L'objectif de la disponibilité est de garantir l'accès à un service ou à
des ressources.

6
 La disponibilité ou fiabilité de service est la prévention d'un déni non
autorisé d'accès à l'information ou à des ressources (critères
communs).
Elle doit pouvoir garantir, d'une part, que les tâches critiques en temps
sont exécutées au moment voulu et que, d'autre part, les tâches non
critiques ne puissent pas le devenir.
Il s'agit également de garantir que l'accès aux ressources est possible
quand on en a besoin, et que les ressources ne sont pas sollicitées ou
conservées inutilement.

La fiabilité de service peut s'exprimer sous diverses formes :

 Délais de réponse. Ex : "l'information doit être disponible
sous huit heures",
 Continuité de services. Ex : "le service doit être disponible
24h/24 avec interruptions ne dépassant pas 2 heures".

4. L'authentification a pour but de vérifier qu'une entité est bien

celle qu’elle prétend être;

Elle consiste à assurer que seules les personnes autorisées aient accès
aux ressources.

Elle consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à

chacun des correspondants que son partenaire est bien celui qu'il croit
être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un
mot de passe qui devra être crypté) l'accès à des ressources uniquement
aux personnes autorisées.

5. La non répudiation vise à interdire à une entité de pouvoir nier

avoir pris part à une action (cela est fortement lié à la notion
juridique d'imputabilité3).

Elle permet de garantir qu'une transaction ne peut être niée;

La non-répudiation de l'information est la garantie qu'aucun des
correspondants ne pourra nier la transaction.

3
Possibilité d'attribuer à un individu la responsabilité d'une infraction

7
Les exigences de la SSI en termes d’objectifs sont donc de faire en sorte que:

 La confidentialité de l’information est suffisamment assurée.

 La confiance en l’intégrité de l’information est
convenablement assurée.
 L’information est disponible lorsque les métiers en
nécessitent l’usage.
 La non répudiation entre l’entreprise et ses interlocuteurs est
assurée.
 Toutes les obligations légales, statutaires, contractuelles et
régulatrices sont maîtrisées et assurées.

Atteindre ces objectifs par la mise en place d’un certain nombre de contre-
mesures matérielles et logicielles telles que :

 système d’authentification (biométrie, serveur d’authentification

 chiffrement (PKI, mécanismes intégrés à des protocoles de
communication (IPsec),
 pare feux (firewall)
 système anti-virus
 outil de détection de failles de sécurité
 système de détection d’intrusions
 système d’exploitation sécurisé
··

Cependant, leur mise en place sans une évaluation préalable des risques
peut engendrer une incohérence, des failles de sécurité et un SI lourd.

Le risque est l'éventualité que des menaces exploitent des vulnérabilités pour
causer un dommage. La SSI est la gestion de ce type de risque.

On ne peut agir sur les menaces qu'en intervenant sur les vulnérabilités propres
au système ou sur leurs conséquences c'est-à-dire en limitant leurs impacts.

Pour cela on identifiera les objectifs de sécurité - qui doivent être adaptés aux
besoins de confidentialité, d'intégrité et de disponibilité - en procédant à une
analyse de risques.

8
 Afin d’atteindre ces objectifs de sécurité, il est nécessaire de
mettre en œuvre une politique de sécurité, applicable à
l’ensemble des entités à l’intérieur d’un domaine géographique
ou fonctionnel qui explicitera l’ensemble des règles et des
recommandations aux fins de protéger les ressources et les
informations contre tout préjudice et également prévoir le cas
de la faillite de la protection.

Pour être mise en œuvre sur un plan opérationnel, cette politique de

sécurité repose sur un certain nombre de fonctions de sécurité, telles
que :
 l’identification et l’authentification des entités,
 le contrôle d’accès,
 la traçabilité des sujets et des opérations,
 l’audit des systèmes,
 la protection des contenus et
 la gestion de la sécurité.

4. Mise en place d'une politique de sécurité

Afin de pouvoir sécuriser un système d’information, il est

nécessaire d'identifier les menaces potentielles, et donc de
connaître et de prévoir la façon de procéder de l'ennemi.

4.1 Notions importantes

La menace (en anglais « threat ») représente le type d'action

susceptible de nuire dans l'absolu.

La vulnérabilité (en anglais « vulnerability », appelée parfois

faille ou brêche) représente le niveau d'exposition face à la
menace dans un contexte particulier.

9
 La contre-mesure est l'ensemble des actions mises en œuvre en
prévention de la menace. Les contre-mesures à mettre en œuvre
ne sont pas uniquement des solutions techniques mais également
des mesures de formation et de sensibilisation à l'intention des
utilisateurs, ainsi qu'un ensemble de règles clairement définies.

Le risque en termes de sécurité est généralement caractérisé par

l'équation suivante :

Tenter de sécuriser un système d'information revient à essayer

de se protéger contre les risques liés à l'informatique pouvant
avoir un impact sur la sécurité de celui-ci, ou des informations qu'il
traite.

4.2 Fondements d’une politique de sécurité

Le niveau de sécurité d'un système est caractérisé par le niveau de

sécurité du maillon le plus faible.

Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont
ouvertes sur la rue. Cela signifie que :

La sécurité doit être abordée dans un contexte global et

notamment prendre en compte les aspects suivants :

• La sensibilisation des utilisateurs aux problèmes de sécurité

• La sécurité logique, c'est-à-dire la sécurité au niveau des données,

notamment les données de l'entreprise, les applications ou encore les
systèmes d'exploitation.

• La sécurité des télécommunications : technologies réseau,

serveurs de l'entreprise, réseaux d'accès, etc.

10
• La sécurité physique, soit la sécurité au niveau des infrastructures
matérielles : salles sécurisées, lieux ouverts au public, espaces
communs de l'entreprise, postes de travail des personnels, etc.

Une politique de sécurité consiste en une démarche globale de

maîtrise des risques informatiques dont les objectifs majeurs sont:

 Minimiser les pertes financières, de savoir faire et d’image

 Réduire les risques technologiques et informationnels à un
niveau acceptable pour l’entreprise
 Permettre un usage efficace et économique des technologies

Une politique de sécurité prend en compte 9 axes

complémentaires :

1. Politique générale de sécurité

2. Traitement et protection de l’information
3. Sensibilisation
4. Communication et reporting
5. Sécurité physique
6. Conformité aux lois et règles internes
7. Sécurité des infrastructures réseau & télécom
8. Sécurité des applications
9. Continuité de l’activité

Complémentarité des procédures, outils et personnes dans la

mise en place d’une politique de sécurité :

 Outils
 Chiffrement
 Filtrage

11
  Contrôle d’accès
 Périmètre de sécurité, Etc.

 PERSONNES
 Sensibilisation
 Formation
 Contrôle
 Surveillance
 attribution des responsabilités

 PROCEDURES
 de gestion
 de contrôle
 de surveillance
 d’évaluation
 de suivi
 de mise à jour
 de sauvegarde
 de restauration
 de secours
 d’exploitation
 législatives
 juridiques
 de crise

 CHAMP D ’APPLICATION
 Systèmes
 Réseaux
 Données
 Programmes
 Environnement physique
 Environnement énergétique

4.3 Instructions préalables à l’établissement d’une politique de

sécurité

 Une politique de sécurisation doit associer sensibilisation,

rigueur, technique, organisation, procédures, surveillance, ...

12
  Une politique de sécurité n’est jamais définitive face à des
risques et aux organismes qui sont en perpétuelle évolution.

 La sécurisation d’un système d’information est indispensable

pour la protection du patrimoine et de l’image d’un organisme.

 La sécurisation des systèmes d’information consiste à mettre

en place les protections nécessaires contre les dommages subis
ou causés par l’outil informatique et découlant de l’acte volontaire,
involontaire ou malveillant d’un individu, qu’il soit externe ou
interne à l’organisme.

4.4 Etapes d’une politique de sécurité

Il est nécessaire de définir une politique de sécurité qui représente

l'ensemble des orientations suivies par une organisation en termes de
sécurité. Sa mise en œuvre se fait selon les quatre étapes suivantes :

1. Identifier les besoins en terme de sécurité, les risques

informatiques pesant sur l'entreprise et leurs éventuelles
conséquences;

2. Elaborer des règles et des procédures à mettre en œuvre dans

les différents services de l'organisation pour les risques identifiés ;

3. Surveiller et détecter les vulnérabilités du système d'information

et se tenir informé des failles sur les applications et matériels
utilisés ;

4. Définir les actions à entreprendre et les personnes à contacter en

cas de détection d'une menace ;

Cette politique de sécurité de l'entreprise doit donc couvrir les champs

suivants :
 Un dispositif de sécurité physique et logique, adapté aux
besoins de l'entreprise et aux usages des utilisateurs; L’anti-
incendie. L’anti-intrusion. La gestion des composants
énergétiques. Les onduleurs. Les zones et périmètres de sécurité.
La gestion physique des sauvegardes. L’externalisation
 Une procédure de management des mises à jour;

13
  Une stratégie de sauvegarde correctement planifiée;

 Un plan de reprise après incident;

 Un système documenté à jour;

4.4.1. Phase de définition

La phase de définition des besoins en termes de sécurité est la première

étape vers la mise en œuvre d'une politique de sécurité.

L'objectif consiste à déterminer les besoins de l'organisation en

faisant un véritable état des lieux du système d'information, puis
d'étudier les différents risques et la menace qu'ils représentent afin
de mettre en œuvre une politique de sécurité adaptée.

La phase de définition comporte ainsi trois étapes :

1. L'identification des besoins

2. L'analyse des risques
3. La définition de la politique de sécurité

1) Identification des besoins

La phase d'identification des besoins consiste dans un premier temps à

faire l'inventaire du système d'information, notamment pour les éléments
suivants :

 Personnes et fonctions;
 Matériels, serveurs et les services qu'ils délivrent;
 Cartographie du réseau (plan d'adressage, topologie
physique, topologie logique, etc.);
 Liste des noms de domaine de l'entreprise;

14
  Infrastructure de communication (routeurs, commutateurs,
etc.)
 Données sensibles.

2) Analyse des risques

L'étape d'analyse des risques consiste à répertorier les différents

risques encourus, d'estimer leur probabilité et enfin d'étudier leur
impact.

La meilleure approche pour analyser l'impact d'une menace consiste à

estimer le coût des dommages qu'elle causerait (par exemple attaque
sur un serveur ou détérioration de données vitales pour l'entreprise).
Sur cette base, il peut être intéressant de dresser un tableau des risques
et de leur potentialité, c'est-à-dire leur probabilité de se produire, en leur
affectant des niveaux échelonnés selon un barème à définir, par
exemple :

• Sans objet (ou improbable) : la menace n'a pas lieu d'être ;

• Faible : la menace a peu de chance de se produire ;
• Moyenne : la menace est réelle ;
• Haute : la menace a de grandes chances de se produire.

3) Définition de la politique de sécurité

La politique de sécurité est l'ensemble des orientations suivies par une

entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au
niveau de la direction de l'organisation concernée, car elle concerne tous
les utilisateurs du système.
Elle définit un certain nombre de règles, de procédures et de bonnes
pratiques permettant d'assurer un niveau de sécurité conforme aux
besoins de l'organisation.

Méthodes d’analyse des risques

Il existe de nombreuses méthodes permettant de mettre au point une
politique de sécurité.
Voici une liste non exhaustive des principales méthodes :
15
• MARION (Méthodologie d'Analyse de Risques Informatiques Orientée
par Niveaux), mise au point par le CLUSIF ; Cette méthode a été
abandonnée par le CLUSIF et remplacée par la méthode MEHARI
https://www.clusif.asso.fr/fr/production/mehari/

• MEHARI (MEthode Harmonisée d'Analyse de RIsques) ;

https://www.clusif.asso.fr/fr/production/mehari/

• EBIOS (Expression des Besoins et Identification des Objectifs de

Sécurité), mise au point par la DCSSI (Direction Centrale de la Sécurité
des Systèmes d'Information);
http://www.ssi.gouv.fr/fr/confiance/ebios.html

 FEROS (Fiche d'Expression Rationnelle des Objectifs de Sécurité)

mise au point par le SCSSI (Service Central de la Sécurité des
Systèmes d’Information) qui est responsable de la régularisation de
l’utilisation des crypto-systèmes en France.

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation), développée par l'Université de Carnegie Mellon (USA).

• CRAMM (CCTA Risk Analysis and Management Method) a été

inventée par Siemens en Angleterre et est soutenue par l'état. CRAMM
est une méthode exhaustive assez lourde, réservée aux grandes
entreprises puisqu'elle recourt à près de 3 000 points de contrôle.

• La norme ISO 17799.

Critères de choix d’une méthode d’analyse des risques :

Nous citons ici un ensemble de critères de choix d'une méthode
d'analyse des risques
• l'origine géographique de la méthode car la culture du pays
joue un rôle sur le fonctionnement interne des entreprises et leur
rapport au risque
• la langue de la méthode, il est en effet essentiel de maîtriser le
vocabulaire employé
• l'existence d'outils logiciels en facilitant l'utilisation
• l'existence d'un club d'utilisateurs afin d'avoir un retour
d'expériences
• la qualité de la documentation
• la facilité d'utilisation de la méthode
• la compatibilité avec une norme nationale ou internationale

16
 • le coût de la mise en œuvre
• la quantité de moyens humains qu'elle implique et la durée de
mobilisation
• la taille de l'entreprise à laquelle elle est adaptée
• le support de la méthode par son auteur (une méthode
abandonnée n'offre plus la possibilité de conseil et de support de la
part son éditeur)
• sa popularité, une méthode très connue offre un réservoir de
personnels qualifiés pour la mettre en œuvre

4.4.2. Mise en œuvre d’une politique de sécurité

1) Phase de mise en œuvre

Après que l’administrateur de sécurité ait répondu à une panoplie de

questions pour la définition de la politique de sécurité de son entreprise,
telles que :

 Quelles sont les « biens» de l’entreprise ?

 Quel est leur niveau de sensibilité ou de criticité ?
 De qui, de quoi doit-on se protéger ?
 Quels sont les risques réellement encourus ?
 Ces risques sont-ils supportables et jusqu’à quel niveau ?
 Quel est le niveau actuel de sécurité ?
 Quel est le niveau de sécurité que l’on souhaite atteindre ?
 Comment passer du niveau actuel au niveau désiré ?
 Quelles sont les contraintes effectives ?
 Quels sont les moyens disponibles ?

Il doit passer à la phase de mise en œuvre de sa PSSI et qui consiste à

déployer des moyens et des dispositifs visant à sécuriser le système
d'information ainsi que de faire appliquer les règles définies dans la
politique de sécurité.
Les principaux dispositifs permettant de sécuriser un réseau contre les
intrusions sont les systèmes pare-feu. Néanmoins ce type de dispositif
ne protège pas la confidentialité des données circulant sur le réseau.

17
Ainsi, la plupart du temps il est nécessaire de recourir à des applications
implémentant des algorithmes cryptographiques permettant de garantir
la confidentialité des échanges.
La mise en place de tunnels sécurisés (VPN) permet d'obtenir un niveau
de sécurisation supplémentaire dans la mesure où l'ensemble de la
communication est chiffrée.

2) Validation d’une politique de sécurité

a) Audit de sécurité

 Un audit de sécurité (en anglais security audit) consiste à s'appuyer

sur un tiers de confiance (généralement une société spécialisée en
sécurité informatique) afin de valider les moyens de protection mis en
œuvre, au regard de la politique de sécurité.
 L'objectif de l'audit est ainsi de vérifier que chaque règle de la
politique de sécurité est correctement appliquée et que l'ensemble
des dispositions prises forme un tout cohérent.
 Un audit de sécurité permet de s'assurer que l'ensemble des
dispositions prises par l'entreprise sont réputées sûres.
 L'audit de sécurité d'un système d'information (SI) est une vue à un
instant T de tout ou partie du SI, permettant de comparer l'état du SI à
un référentiel.
 L'audit répertorie les points forts, et surtout les points faibles
(vulnérabilités) de tout ou partie du système. L'auditeur dresse
également une série de recommandations pour supprimer les
vulnérabilités découvertes.

 L'audit est réalisé par rapport à un référentiel généralement

constitué de :
 la politique de sécurité du système d'information

 la base documentaire du SI

 réglementations propre à l'entreprise

 textes de loi

 documents de référence dans le domaine de la sécurité informatique

 Cette phase peut couvrir l'organisation générale de la sécurité :

18
  La réglementation, les procédures, le personnel,
 La sécurité physique des locaux (lutte anti-incendie, contrôle
des accès, sauvegarde et archivage des documents),
 L'exploitation et administration (sauvegarde et archivage des
données, continuité du service, journalisation),
 Les réseaux et télécoms (matériel (routeurs, modems,
autocommutateur..),
 Le contrôle des accès logiques, lignes et transmission), les
systèmes (poste de travail, serveur, logiciels de base,
solution antivirale) et les applications (méthodes de
développement, procédures de tests et de maintenance,..). 

b) Tests d'intrusion

 Les tests d'intrusion (en anglais penetration tests, abrégés en pen

tests) consistent à éprouver les moyens de protection d'un système
d'information en essayant de s'introduire dans le système en
situation réelle. Une telle démarche doit nécessairement être
réalisée avec l'accord du plus haut niveau de la hiérarchie de
l'entreprise, dans la mesure où elle peut aboutir à des dégâts
éventuels et étant donné que les méthodes mises en œuvre sont
interdites par la loi en l'absence de l'autorisation du propriétaire du
système.
 Les tests d’intrusion sont aussi appelés audits techniques. Ils
décèlent les vulnérabilités exploitables par des utilisateurs non
autorisés et mettent en évidence les failles du processus de
sécurité de l’entreprise. Ils sont conduits par des « ethical
hackers », habilités et mandatés par l’entreprise. Ils réalisent des
simulations d’attaques en utilisant les techniques des pirates
informatiques. Le principe d’un audit technique est donc de
vérifier la facilité ou la difficulté d’un individu à pénétrer ou à
accéder sans autorisation à la structure informationnelle de
votre organisation
 On distingue entre :
 L’analyse des vulnérabilités qui Identifie et valide
seulement les failles de sécurité dans l'infrastructure du client
à l'aide d'outils automatisés et d'une intervention manuelle
limitée. Une liste des vulnérabilités trouvées et des mesures
correctives qui leur sont associées est fournie. L’estimation
de l’étendue des menaces identifiées est laissée au soin du
client.
19
  Le test d’intrusion qui Illustre efficacement la vulnérabilité des
actifs mis en jeu et détermine l’étendue et l’impact des
vulnérabilités en approfondissant les découvertes faites pendant la
phase d'évaluation. Les vulnérabilités découvertes sont exploitées
afin de gagner des accès privilégiés aux actifs ou pour prendre des
«trophées» comme des noms d'utilisateurs et des mots de passe,
ou les données sensibles des usagers comme preuve d'entrée. Une
exploitation des vulnérabilités consomme plus de temps et d'effort
qu'une évaluation de vulnérabilités.

On retrouve généralement dans la littérature deux méthodes de tests

d’intrusion distinctes :
 La méthode dite « boîte noire » (en anglais « black box »)
consistant à essayer d'infiltrer le réseau sans aucune
connaissance du système, afin de réaliser un test en situation
réelle ;
 La méthode dite « boîte blanche » (en anglais « white box »)
consistant à tenter de s'introduire dans le système en ayant
connaissance de l'ensemble du système, afin d'éprouver au
maximum la sécurité du réseau.

Néanmoins, on peut rencontrer aussi la méthode dite « boîte grise » (en

anglais « grey box ») consistant à tenter de s'introduire dans le système
en ayant un minimum de connaissance de l'ensemble du système. On
attribue généralement au testeur un compte d’accès d’un utilisateur
normal (sans privilèges).

Remarque : L’auditeur peut aussi utiliser les tests d’intrusion pour

découvrir les vulnérabilités de la PSSI établie.

Exemple d’outils open source utilisés :

 Pour la phase de découverte appelée aussi prise d'empreintes

ou cartographie: Ethereal ( ou Wireshark) est un outil de test qui
fait partie de la famille des sniffers, il va écouter les paquets
échangés sur le réseau. Il permettra ainsi d'auditer et de contrôler
les types de données circulant sur le réseau.
On peut utiliser aussi des scanners de ports et de vulnérabilités tels
que Nmap (identifie, sur un équipement donné, l'ensemble des
services et ports ouverts) ou Nessus (met en évidence les
vulnérabilités potentielles)

20
  Pour la phase d’exploitation des vulnérabilités identifiées : on
utilise une autre famille d'outils offensifs tels que Metasploit. C'est
un outil regroupant un ensemble d'exploits (des codes d'exploitation
de vulnérabilités). Parmi la panoplie d'outils offensifs, on trouve
également des casseurs de mots de passe comme Cain &
Abel, John The Ripper ou Aircrack. Ces logiciels Open Source
permettent de tester la robustesse des mots de passe définis par
les utilisateurs et peuvent être utilisés comme point de départ pour
des actions de sensibilisation.

Un test d'intrusion, lorsqu'il met en évidence une faille, est un

bon moyen de sensibiliser les acteurs d'un projet. Au contraire, il
ne permet pas de garantir la sécurité du système, dans la mesure
où des vulnérabilités peuvent avoir échappées aux testeurs.

Les audits de sécurité permettent d'obtenir un bien meilleur

niveau de confiance dans la sécurité d'un système étant donné
qu'ils prennent en compte des aspects organisationnels et
humains et que la sécurité est analysée de l'intérieur.

a) Modèles formels de sécurité

Une bonne maîtrise de la conception des systèmes informatiques par

des méthodes formelles est nécessaire afin de prévenir les risques des
phases amont de la conception. Plusieurs modèles basés sur les
méthodes formelles ont été proposés. Ces modèles dressent une
représentation formelle des politiques de sécurité et de leur
fonctionnement. Ils permettent de prouver des propriétés sur la sécurité
du système.

Dans la littérature on trouve une diversité de modèles formels se

rapportant à la sécurité informatique, il y a des modèles qui s’intéressent
au contrôle d’accès, d’autres modèles s’intéressent aux protocoles
de sécurité. On trouve aussi des modèles qui s’intéressent aux
attaques.

21
Ces modèles utilisent des formalismes différents, à savoir, l’algèbre,
l’algèbre de processus4, la logique modale5, les arbres, et le réseau
de Petri et ses dérivés.

Afin d'atteindre une cible d'évaluation avec un bon degré de confiance

(niveau E4 de TCSEC au minimum), nous définissons formellement le
concept de sécurité dans un modèle dont les objectifs sont les suivants :

 Exprimer les besoins de sécurités intégrées dans un contexte

informatique,
 Fournir des moyens pour justifier que le modèle est cohérent,
 Fournir des moyens permettant de convaincre que les besoins sont
satisfaits,
 Fournir des méthodes permettant de concevoir et d'implanter le
système.

Il existe plusieurs modèles formels de sécurité :

• Le modèle de Bell-LaPadula (gestion d'accès par mandat,
confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la
sécurité des systèmes informatiques.
Les concepteurs de ce modèle ont démontré un théorème appelé Basic
Security Theorem (BST). De ce modèle furent dérivés d'autres
modèles: celui de Biba (gestion d'accès par mandat, intégrité, statique),
celui de Dion (gestion d'accès par mandat, confidentialité et intégrité,
statique), de Jajodia et Sandhu (gestion d'accès par mandat,
confidentialité, statique).
• Le modèle de non-déduction (gestion d'accès par mandat,
confidentialité, dynamique) modélisant le flux d'informations en utilisant
des concepts de la logique.
Les modèles de sécurité basés sur le principe de flux d'informations ont
leur utilité dans le contrôle des accès indirects à l'information : ils mettent
en évidence le problème des canaux cachés.
• Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le
modèle Take-Grant et le modèle SPM.

3) Phase de maintenance de la PSSI

4
Les algèbres de processus sont des langages formels permettant de modéliser les systèmes concurrents ou
distribués tels que : CSP (Communicating sequential processes), LOTOS (Language Of Temporal Ordering
Specification) - norme ISO 8807 ou Pi-calcul.

5
La logique modale est un type de logique qui permet de formaliser des éléments modaux, c'est-à-dire de spécifier
des qualités du vrai. Elle utilise des éléments modaux tels que « il est possible », « il est nécessaire », etc.

22
Afin d'être complètement fiable, un système d'information sécurisé doit
disposer de mesures permettant de détecter les incidents. De nombreux
moyens techniques peuvent être mis en œuvre pour assurer une
sécurité du système d'information. Il convient de choisir les moyens
nécessaires, suffisants, et justes. Voici une liste non exhaustive de
moyens techniques pouvant répondre à certains besoins en termes de
sécurité du système d'information :

 Contrôle des accès au système d'information ;

 Surveillance du réseau: sniffer, système de détection d'intrusion
chargés de surveiller le réseau et capables de déclencher une
alerte lorsqu'une requête est suspecte ou non conforme à la
politique de sécurité. La disposition de ces sondes et leur
paramétrage doivent être soigneusement étudiés car ce type de
dispositif est susceptible de générer de nombreuses fausses
alertes;
 Sécurité applicative: séparation des privilèges, audit de code,
rétro-ingénierie6 ;
 Emploi de technologies ad-hoc: pare-feu, anti-logiciels
malveillants (antivirus, antipourriel (SPAM), antiespiogiciel
(spyware) ;
 Cryptographie: authentification forte, infrastructure à clés
publiques, chiffrement ;
 Prévention: Sensibiliser les utilisateurs, bien configurer ses
logiciels de sécurité, permettre leurs mises à jour, faire des scans
périodiques du parc complet de l’entreprise.

4.4.3. Réaction aux incidents

Il est essentiel d'identifier les besoins de sécurité d'une organisation afin

de déployer des mesures permettant d'éviter un sinistre tel qu'une
intrusion, une panne matérielle ou encore un dégât des eaux.
Néanmoins, il est impossible d'écarter totalement tous les risques et
toute entreprise doit s'attendre un jour à vivre un sinistre.
6
La rétro-ingénierie (traduction littérale de l'anglais Reverse engineering), également appelée rétro-conception,
est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement. L'objectif peut être par
exemple de créer un objet différent avec des fonctionnalités identiques à l'objet de départ sans contrefaire de
brevet. Ou encore de modifier le comportement d'un objet dont on ne connaît pas explicitement le
fonctionnement.
La démarche utilisée peut être celle de l'étude d'une boîte noire : on isole l'objet à étudier, on détermine les
entrées et les sorties actives. On essaie ensuite de déterminer la réponse du système en fonction du signal
d'entrée. Mais il est également possible de démonter le système jusqu'à un certain point pour en analyser les
constituants

23
Dans ce type de cas de figure la vitesse de réaction est primordiale car
une compromission implique une mise en danger de tout le système
d'information de l'entreprise. De plus, lorsque la compromission
provoque un dysfonctionnement du service, un arrêt de longue durée
peut être synonyme de pertes financières. Enfin, dans le cas par
exemple d'un défaçage de site web (modification des pages), la
réputation de toute l'entreprise est en jeu.

1) Phase de réaction
La phase de réaction est généralement la phase la plus laissée pour
compte dans les projets de sécurité informatique. Elle consiste à
anticiper les événements et à prévoir les mesures à prendre en cas de
pépin.
En effet, dans le cas d'une intrusion par exemple, il est possible que
l'administrateur du système réagisse selon un des scénarios suivants :

 Obtention de l'adresse du pirate et riposte;

 Extinction de l'alimentation de la machine;
 Débranchement de la machine du réseau ;
 Réinstallation du système.

Or, chacune de ces actions peut potentiellement être plus nuisible

(notamment en termes de coûts) que l'intrusion elle-même. En effet, si le
fonctionnement de la machine compromise est vital pour le
fonctionnement du système d'information ou s'il s'agit du site d'une
entreprise de vente en ligne, l'indisponibilité du service pendant une
longue durée peut être catastrophique.
Par ailleurs, dans ce type de cas, il est essentiel de constituer des
preuves, en cas d'enquête judiciaire. Dans le cas contraire, si la machine
compromise a servi de rebond pour une autre attaque, la responsabilité
de l'entreprise risque d'être engagée.
La mise en place d'un plan de reprise après sinistre permet ainsi d'éviter
une aggravation du sinistre et de s'assurer que toutes les mesures visant
à établir des éléments de preuve sont correctement appliquées.
Par ailleurs, un plan de sinistre correctement mis au point définit les
responsabilités de chacun et évite des ordres et contre-ordres
gaspilleurs de temps.

2) Restauration
La remise en fonction du système compromis doit être finement décrite
dans le plan de reprise après sinistre et doit prendre en compte les
éléments suivants :

24
  Datation de l'intrusion : la connaissance de la date approximative
de la compromission permet d'évaluer les risques d'intrusion sur le
reste du réseau et le degré de compromission de la machine;
 Confinement de la compromission : il s'agit de prendre les
mesures nécessaires pour que la compromission ne se propage
pas;
 Stratégie de sauvegarde : si l'entreprise possède une stratégie de
sauvegarde, il est conseillé de vérifier les modifications apportées
aux données du système compromis par rapport aux données
réputées fiables. En effet, si les données ont été infectées par un
virus ou un cheval de Troie, leur restauration risque de contribuer à
la propagation du sinistre;
 Constitution de preuves : il est nécessaire pour des raisons
légales de sauvegarder les fichiers journaux du système corrompu
afin de pouvoir les restituer en cas d'enquête judiciaire;
 Mise en place d'un site de repli : plutôt que de remettre en route
le système compromis, il est plus judicieux de prévoir et d'activer
en temps voulu un site de repli, permettant d'assurer une continuité
de service.

3) Répétition du plan de sinistre

La répétition du plan de sinistre permet de vérifier le bon fonctionnement
du plan et permet également à tous les acteurs concernés d'être
sensibilisés, au même titre que les exercices d'évacuation sont
indispensables dans les plans de secours contre les incendies.

5. Les conditions du succès de la démarche sécurité

 Une volonté directoriale

 Une politique de sécurité simple, précise, compréhensible et
applicable
 La publication de cette politique de sécurité
 Une gestion centralisée de la sécurité et une certaine
automatisation des processus de sécurité
 Un niveau de confiance déterminé des personnes, des
systèmes

25
  Du personnel sensibilisé et formé à la sécurité, possédant
une haute valeur morale
 Des procédures d’enregistrement, de surveillance, d’audit,
d’organisation
 Une certaine éthique et un respect des contraintes légales

Recommandations

Parmi les recommandations établies par Pierre LASBORDES député

Français en novembre 2005 :

 Rendre accessible la SSI à toutes les entreprises

Le manque de maturité et une sensibilisation insuffisante de la plupart
des entreprises françaises face aux risques qui pèsent sur leurs
systèmes d’information, alors que les enjeux économiques notamment
en termes d’emplois sont significatifs, nécessitent la mise en œuvre des
actions suivantes :

- inciter les entreprises, en particulier les PME, à mettre en place, faire

auditer et éventuellement certifier la sécurité de leurs systèmes
d’information par des organismes habilités, comme cela avait été le cas
pour la certification des systèmes qualité.

- créer un centre d’aide et de conseil, guichet unique pour assister les

entreprises ne disposant pas d’une expérience mature en SSI et les
utilisateurs lorsqu'ils subissent des attaques informatiques ;

- diffuser aux PME sous une forme adaptée, les informations de veille,
d'alerte et de réponse disponibles au niveau des CERT nationaux ;

- initier et animer des forums thématiques public – privé favorisant la

circulation d’informations, les retours d’expériences, le partage des
bonnes pratiques,…

26
 Stratégie de la Norvège en matière de sécurité de l’information

Recommandation 1 : Mettre au point les outils nécessaires et améliorer

le partage des responsabilités pour la politique de la sécurité de
l’information afin de mieux répondre aux exigences de disponibilité et
d’intégrité.
Recommandation 2 : Élaborer un processus d’évaluation de la
performance afin de mesurer l’efficacité des processus en place de
contrôle de la sécurité de l’information au regard des menaces
existantes.
Recommandation 3 : définir et mettre en œuvre un système reposant
sur un minimum vital pour la gestion de la sécurité dans les systèmes de
l’administration, complété par des évaluations ciblées du risque
Recommandation 4 : Mettre en place une procédure systématique
d’évaluation des risques pour les infrastructures critiques
Recommandation 5 : Répartir les responsabilités entre un plus petit
nombre d’acteurs au sein de l’administration
Recommandation 6 : Déterminer le niveau de risque acceptable et le
partage des responsabilités dans la gestion des risques de chaque
infrastructure critique.
Recommandation 7 : Renforcer l’implication des opérateurs dans les
activités de gestion des risques
Recommandation 8 : Favoriser l’élaboration d’un système de soutien à
la gestion des incidents pour les PME
Recommandation 9 : Renforcer les services publics de conseil et
d’audit afin d’améliorer le niveau de préparation et la planification
d’urgence.
Recommandation 10 : Créer une fonction nationale de gestion des
crises
Recommandation 11 : Améliorer et rationaliser les actions de
sensibilisation en direction des PME et du grand public

27
Recommandation 12 : Stimuler les échanges d’information et de
bonnes pratiques entre utilisateurs
Recommandation 13 : Définir une stratégie nationale de recherche sur
la sécurité de l’information et renforcer l’influence de la demande dans
l’orientation des projets de recherche.

28