Introduction Securite Informatique2019-2020

Introduction à la Sécurité
Informatique
ESGIS - Juillet 2020

|1
OBJECTIFS DU COURS
▌ Comprendre les enjeux et contours de la sécurité informatique
▌ cerner les concepts fondamentaux de la sécurité

informatique
▌ identifier les informations sensibles,
▌ appréhender les risques et les conséquences de
l'usage et de la diffusion des données,
▌ acquérir les bons gestes et réflexes pour protéger les
données,
▌ maîtriser quelques outils et mécanismes de sécurité
Juillet 2020
L2 IRT ESGIS-Cotonou
Objectifs du cours
Déroulement du cours
▌ Évaluation des connaissances
■ Contrôle Terminal de 1h30 à 2h (à la fin du cours)

■ Travaux pratiques en équipes de 5 ou 6 (mais notes individuelles)
Juillet 2020
Déroulement : évaluation des connaissances
PLAN DE COURS
▌ Introduction à la sécurité informatique
▌ Introduction
▌ Les objectifs de la sécurité informatique
▌ Les métiers de la Sécurité Informatique
▌ Les champs d'application de la sécurité informatique
▌ Terminologies de la sécurité informatique
▌ Types d'attaques
▌ Profils et capacités des attaquants
▌ Services principaux de la sécurité informatique
Juillet 2020
Plan de cours
Introduction
 Manipulation de l’information tous les jours et sous diverses formes

 L’information au centre de tout et oxygène des temps modernes
=> Gérer l’information de façon automatique et rationnelle pour en tirer profit.
Système d’information => intégration d’un ensemble d’éléments participant au

traitement de l’information, à son transport, à son stockage, à sa manipulation et/ou à
sa diffusion au besoin.
L’information peut avoir de la valeur en fonction de sa nature et dans le temps.

=> nécessiter qu’elle :
• soit, disponible à temps voulu,
• soit, exempte de toute modification non autorisée
• revêt un caractère secret.
Juillet 2020
Introduction
Introduction
L’homme se sent en sécurité lorsqu’il est :

• libre,
• non exposé au danger,
• tranquille d’esprit dans un climat de confiance et de sentiment de non menace
L’importance, la sensibilité ou la délicatesse de l’information peut être à un niveau

• personnel,
• institutionnel ou sociétaire,
• collectif voire national ou même mondial.
« La confiance est un vain mot car en dépit des lois et toutes les mesures pour se protéger,
force est de constater que le monde d’aujourd’hui est comme la jungle où les personnes de
bonne foi cohabitent avec celles de peu de foi ou de mauvaise foi prêtes à frapper fort,
péniblement et si possible durablement.
La vigilance est donc de mise et nul n’est excusable du fait de son ignorance. »
7
Juillet 2020
Introduction
Introduction
Les ordinateurs, les terminaux mobiles, les supports de stockage et de transmission,

etc. sont aujourd’hui les accessoires de l’homme dans cette jungle technologique et
planétaire.
Le cri de détresse qu’on a envie de pousser tout de suite est :
« Oh, Dieu tout puissant, Dieu de miséricorde, infiniment sage et éternel, juste
et fidèle, vient nous protéger et nous sauver du méchant. »
La réponse ressemblerait à ce qui suit :
« A César ce qui est à César et à Dieu ce qui est à Dieu. Pour vivre en paix, il
faut observe mes commandements »
La sécurité informatique n’est pas un état de grâce qui s’obtient par décret. C’est un
sentiment dont l’éclosion est due à la conjonction de facteurs techniques et sociétaux
qui nécessitent un contexte favorable mais très complexe; tant sont grandes les
difficultés de sa réalisation du fait des oppositions entre les différents points de vue.
8
Juillet 2020
Introduction
DÉFINITION ET OBJECTIFS
▌ Définition
La sécurité informatique est l'ensemble des techniques qui assurent que les
ressources (matérielles ou logicielles) d’un système d'information d'une personne ou
d’une organisation sont utilisées uniquement dans le cadre où il est prévu qu'elles le
soient et par les personnes autorisées.
▌ Objectifs / Principes
 L’intégrité
 La confidentialité,
 La disponibilité
 L’imputabilité ou la non répudiation
 L’authentification
Juillet 2020
Définition et Objectifs
▌ Objectifs
 L’intégrité
Garantir que les données sont bien celles que l’on croit.
Garantir leur non altération
Prévenir les données ou informations de modification non autorisée
 La confidentialité
Assurer que seules les personnes autorisées aient accès
Prévenir contre l’accès ou la divulgation non autorisée de l’information
Rendre l’information inintelligible aux personnes non autorisées
 La disponibilité
Prévenir contre toute entrave non autorisée à l’accès à l’information
Maintenir le bon fonctionnement du système d’information
10
Juillet 2020
▌ Objectifs
 L’imputabilité ou la non répudiation
Garantir que l’on puisse remonter au responsable de toute action
Garantir la traçabilité de toute transaction
 L’authentification
Assurer que seules les personnes autorisées aient accès aux ressources
Assurer l’identité d’un utilisateur et ne lui donner accès qu’à ce à quoi son
profil à droit.
11
Juillet 2020
METIERS DE LA SECURITE INFORMATIQUE
▌ Les métiers de la sécurité informatique

 Responsable Sécurité du S.I.
 CIL
 Risk Manager
 Auditeur (interne ou externe)
 Expert en Cybersécurité
 Architecte en SI
 Ingénieur en SSI
 Pen Testeur (Hacker Col Blanc)
 Développeur
 Autres ?
12
Juillet 2020
Les champs d’application
METIERS DE LA SECURITE INFORMATIQUE
▌ Les métiers de la sécurité informatique
13
Juillet 2020
INCIDENTS OU SOURCES D’INCIDENTS DE SSI
14
Juillet 2020
TERMINOLOGIES

 MENACE : L'ensemble des éléments externes comme internes pouvant atteindre les
ressources d'une entreprise pour produire un mauvais impact.
Tout ce qui peut porter atteinte à la sécurité d’un système (indisponibilité des systèmes et
des données, destruction de données, corruption ou falsification de données, vol ou
espionnage de données, usage illicite d’un système ou d’un réseau, usage d’un système
compromis pour attaquer d’autres cibles.)
 VULNÉRABILITÉ ou FAILLE : Est une brèche ou faiblesse dans un système

informatique lui conférant un niveau d'exposition face à un ou des menaces dans un
contexte particulier et permettant à un attaquant de porter atteinte à son fonctionnement
normal.
15
Juillet 2020
Terminologies de la sécurité
TERMINOLOGIES

 RISQUE : C’est la combinaison de la probabilité et des conséquences de la survenue d'un évènement
dangereux spécifique pour avoir un impact sur le système.
perte de confidentialité de données sensibles, indisponibilité des infrastructures et des données,

dommages pour le patrimoine intellectuel et la notoriété. Les risques peuvent se réaliser si les systèmes
menacés présentent des vulnérabilités.
Risque = Menace x Vulnérabilité x Impact

Risque = (Menace x Vulnérabilité) / Contre-mesure
Risque = Préjudice x (probabilité d’occurrence)
C’est l’analyse des risques qui doit déterminer ensuite, en fonction des vulnérabilités du système, si les menaces sont
pertinentes, c’est-à-dire si elles correspondent bien à un besoin de protection pour le client ou l’utilisateur et si leur
criticité est suffisamment élevée dans le cadre d’utilisation prévu pour le système.
C’est aussi l’analyse des risques qui doit proposer des solutions pour obtenir le niveau de risque souhaité s’il n’est pas
atteint.
16
Juillet 2020
TERMINOLOGIES

 ATTAQUE (EXPLOIT) : C’est l’exploitation d'une faille ou vulnérabilité d'un système
d’information à des fins préjudiciables. elles représentent les moyens d'exploiter une vulnérabilité.
Une même vulnérabilité peut faire l’objet de plusieurs types d’attaques mais toutes les vulnérabilités
ne sont pas exploitables.
17
Juillet 2020
TERMINOLOGIES

 POLITIQUE DE SECURITE : Une politique de sécurité informatique est un plan d'actions définies
pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de
l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité
informatique. (source : https://fr.wikipedia.org/wiki/Politique_de_sécurité_informatique)
Ensemble de principes d'organisation et de comportement pour garantir un niveau de sécurité.

Elle relève d'une vision stratégique de l'organisme et traduit un engagement fort de la direction générale
par rapport à la préservation de son business.
18
Juillet 2020
MOTIVATION DES ATTANQUANTS
▌ Pourquoi Attaquer ?
 Accéder au système et aux données
 Récupérer les informations des utilisateurs
 Voler des données stratégiques et confidentielles
 Compromettre le bon fonctionnement du système
 Utiliser le système comme un « rebond » pour une attaque
 Utiliser les ressources du système
 Faire du chantage
 Prouver la vulnérabilité du système – Défier

19
Juillet 2020
TYPES D’ATTAQUES
▌ Les différents types d’attaques
Sans être exhaustives, la liste ci-dessous présente quelques types d’attaques
 Accès physique (coupure, vandalisme, ajout d’équipement, vol d'équipement)
 Interception de communications (vol de session, usurpation d’identité, détournement)
 Dénis de service
 Intrusions (balayage de ports, élévation de privilèges, Maliciels)
 Ingénierie sociale (Trappes ou porte dérobée)
 Attaques par rebond (par machines interposées)
20
Juillet 2020
TYPES D’ATTAQUES
▌ La Méthodologie d’une attaque

Nettoyage des traces
Porte dérobée
Compromission
Intrusion Extension de privilèges
Repérage de failles Déni de service
Balayage
Collecte d’informations
21
Juillet 2020
CHAMPS D’APPLICATION
▌ Les champs d'application de la sécurité Informatique

 Sécurité physique et environnementale
 Sécurité du système et de l’exploitation
 Sécurité du réseau
 Sécurité logique, applicative et sécurité de

l’information
 Sécurité procédurale
22
Juillet 2020

La protection logique ne sert à rien si la sécurité physique des infrastructures, des données et
des traitements n’est pas convenablement assurée. C’est le première rempart à garantir.
Il faut donc prendre aussi bien des mesures préventives que celles protectrices.
Les mesures préventives
Elles permettent d’éviter qu’un sinistre ne survienne et sont généralement issues d’un audit
de sécurité physique. Cela permet de :
 Garantir la qualité du bâtiment qui abrite données et traitements (à l’épreuve des intempéries et des
inondations, protégé contre les incendies et les intrusions)
 Définir un périmètre physique de sécurité et contrôler les accès (barrières, badges magnétiques,
vidéosurveillance, etc.)
 Garantir la qualité de l’alimentation électrique
 Respecter les normes et certification adéquate du câblage du réseau et des accès aux réseaux
extérieurs ainsi que des infrastructure communication
23  Faire les tests de sinistres et autres
Juillet 2020

Les mesures protectrices
Les mesures préventives ne rendent pas impossible les sinistres. Les mesures protectrices ont
pour but de protéger le patrimoine en cas de sinistre ou d’incidents matériels, logiciels ou
humain :
 Détecteur de fumée, et système de déclenchement et d’extinction d’incendie
 Issus de secours et systèmes de désenfumage pour limiter la propagation d’incendie et évacuer vers
l’extérieur la chaleur, les gaz et les imbrulés
 Avoir un plan de reprise d’activité et un plan de continuité de service (Site secours, etc.)
 Contracter une assurance
24
Juillet 2020

 Sécurité du système d’exploitation et de l’exploitation
 Sécuriser l’accès au système (plusieurs niveaux)

 Installer un antivirus de bonne réputation
 Gérer les des profils utilisateurs et séparer les privilèges dans le systèmes
 Faire l’audit de sécurité pour découvrir les failles ou vulnérabilités du système d’exploitation et des
applications
 Appliquer les correctifs de sécurités
25
Juillet 2020

 Privilégier une architecture au moins tripartite ou à plusieurs niveaux de sécurité : niveau

présentation (interface utilisateur), niveau logique (logiciels de traitement), niveau données
(stockage)
 Privilégier les systèmes qui offrent une meilleure gestion de la mémoire et des disques (organisation
par sections, segmentation, cloisonnement)
 Mettre en place des procédures de maintenance, de test, de diagnostic, de mise à jour
 Avoir un plan de sauvegarde / restauration
 Avoir un plan de secours
 Faire la veille technologique
26
Juillet 2020

Quelques objets à protéger :

• Matériel : processeur, interfaces, périphériques, etc.
• Processus : nécessaire de séparer les processus critiques pour la sécurité
• Communication entre les processus
• Mémoire
• Fichiers : programmes et données partagées, bases de données pour le contrôle d’accès,
l’authentification, l’audit
• Périphériques partagés (disques), et utilisables séquentiellement (imprimantes)
27
Juillet 2020

La plupart des incidents de sécurité surviennent par le réseau, et visent parfois même le réseau. Il n’est
plus possible de concevoir le système d’information d’une entreprise sans intégrer la composante
réseau.
Le modèle OSI à 7 couches, sans être réellement implémenté, est la meilleure conceptualisation des
réseaux à cause de sa complétude et de sa clarté.
Le modèle TCP/IP est une concrétisation en 4 couches du modèle OSI.
Les éléments d’un réseau se situent au niveau des différentes couches et jouent chacun un rôle dans les
échanges de données.
Sécuriser le réseau revient à :
• sécuriser les supports de transmission et les équipements d’interconnexion (donc l’infrastructure
réseau : couches plus basses),
• sécuriser les accès au réseaux et aux données (couches plus hautes).
28
Juillet 2020

 Premier niveau de sécurité : sécurité physiques des installations
 Second niveau de sécurité : dispositifs de sécurité logique spécifiques
• Segmentation des flux,
• Filtrage d’adresse (MAC, IP)
• VLAN,
• Pare-feu,
• Sonde anti intrusions, (IDS, IPS, leurre ou Honeypot),
• NAT au besoin
• Routeurs filtrants (ACL),
• Chiffrement (des données en local, des échanges)
• Tunnelisation ou VPN, Chiffrement,
• Accès distants avec authentification de l’utilisateur et du poste
• Mise à jour des protocoles et outils réseaux,
29
Juillet 2020

 Sécurité logique, applicative et sécurité de l’information
 Gestion des mots de passe
 Authentification unique : Single Sign On ou SSO
 Authentification forte (multi facteurs)
 Chiffrement
30
Juillet 2020

 Gestion des mots de passe

o Choisir des mots de passe difficiles à trouver mais faciles à retenir
o Utiliser les mots de passe assez longs et composés de plusieurs types de caractères dont les
caractères spéciaux
o Utiliser des moyens mnémotechniques pour retenir facilement les mots de passe
o Les mots de passe doivent toujours être hachés (md5, sha1, crypt) avant leur circulation sur le
réseau et leur stockage dans une quelconque bases de données et protéger l’accès à cette
dernière
31
Juillet 2020

 Authentification unique : Single Sign On ou SSO
o S’authentifier une seule fois pour accéder à plusieurs services et applications
o Authentification centralisée vers un système qui gère les accès aux applications et
ressources
 Authentification forte
o Utilisation de plusieurs mécanismes d’authentification (au moins deux) pour
renforcer la sécurité
32
Juillet 2020

 Chiffrement
C’est l’art de faire subir à un texte clair une transformation plus ou moins complexe pour en
déduire un texte inintelligible, dit chiffré. Cette transformation repose sur deux éléments : une
fonction mathématique (au sens large) et une clé secrète.
Seule une personne connaissant la fonction et possédant la clé peut effectuer la transformation
inverse pour obtenir le texte clair à partir du texte chiffré.
La cryptographie est la science de l’invention du code secret.
33
Juillet 2020

 Chiffrement
Il existe deux types de chiffrement
o Chiffrement symétrique ou cryptographie symétrique
o Chiffrement asymétrique ou cryptographie asymétrique
34
Juillet 2020

Il est encore appelé cryptographie à clé secrète et se base sur l’utilisation de la même clé pour
le chiffrement et le déchiffrement.
35
Juillet 2020

o Chiffrement symétrique ou cryptographie symétrique (suite)
La clé étant unique, aucun problème ne se pose si c’est la même personne qui crypte qui
l’utilise pour décrypter. Mais on a besoin de crypter un document puis l’envoyer à une autre
personne qui va le décrypter => partage du secret.
Quel mécanisme utiliser pour l’échange de clé sans risque d’interception par un pirate ?
Jonglage
Solutions :
l’algorithme Diffie-Hellman
36
Juillet 2020

La solution de Diffie et Hellman repose sur l’arithmétique modulaire, soit

l’arithmétique fondée sur les classes d’équivalence modulo n.
Le protocole repose sur une fonction de la forme K = WX mod P, avec P premier et W < P.
Une telle fonction est très facile à calculer, mais la connaissance de K ne permet pas d’en
déduire facilement X. Cette fonction est publique, ainsi que les valeurs de W et P.
Exemple à faire au cours pour illustrer.
37
Juillet 2020

Quelques algorithmes de chiffrement symétrique
• Data Encryption Standard (DES).

• Triple DES
• Advanced Encryption Standard (AES)
38
Juillet 2020

Il est encore appelé cryptographie à clé publique ou à paire de clés. Il se base sur l’utilisation une clé
pour chiffrer et une autre pour déchiffrer.
Le clé pour chiffrer est publique et la clé pour déchiffrer à garder secrète.
39
Juillet 2020

1. Prendre deux nombres premiers très grand p et q. (de 150 chiffres et gardés secrets)
mais pour l’exemple p = 3 et q = 11.
2. Calculer n = pq, soit dans notre exemple n = 33.
3. Calculer z = (p − 1)(q − 1). Dans notre exemple z = 20.
4. Prendre un petit entier e, impair et premier avec z, soit e = 7. Dans la pratique, e sera toujours petit
devant n2.
5. Calculer l’inverse de e (mod z), c’est-à-dire d tel que e.d = 1 mod z. Dans notre exemple d = 3.
6. La paire P = (e, n) est la clé publique.
7. Le triplet S = (d, p, q) est la clé privée.
40 Algorithme de cryptage asymétrique : RSA (Rivest, Shamir et Adleman qui en sont les auteurs)
Juillet 2020

Quelques définitions
Certificat électronique : Un certificat électronique numérique est une carte d'identité numérique
d’une personne physique ou morale. Il est utilisé principalement pour identifier et authentifier une
personne physique ou morale, mais aussi pour chiffrer des échanges.
Il permet de valider le lien entre une signature électronique et son signataire. Il est signé par un tiers de
confiance qui atteste du lien entre l'identité physique et l'entité numérique (virtuelle).
C’est un ensemble de données contenant :
• au moins une clé publique,
• au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est la seule autorité
permettant de prêter confiance (ou non) à l'exactitude des informations du certificat.
• des informations d'identification, par exemple : nom, localisation, adresse électronique ;
41
Juillet 2020

Certificat électronique
42
Juillet 2020

Certificat électronique
Exemple d’un certificat de yahoo
43
Juillet 2020

Signature numérique : C’est un mécanisme permettant de garantir l'intégrité d'un document
électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier.
C’est donc une transposition dans le monde numérique de la signature manuscrite.
44
Juillet 2020

Signature numérique
Pour mettre en place une signature
numérique on a besoin :
• d’un outil de chiffrement
• d’un certificat
Ci-contre, une illustration de signature

de document.
45
Juillet 2020

 Sécurité procédurale
• tampon entre aspects juridiques et techniques de la sécurité

• courroie de transmission entre les obligations et interdictions légitimes et les réalisations
informatiques
• organise les rôles, les fonctions et les responsabilités des acteurs. De cette façon, toute
décision-action importante sera prise après confirmation, par une combinaison de tâches
dont la bonne exécution sera rigoureusement contrôlée.
• audit de sécurité., certification et respect des normes SSI
• Politique de sécurité
46
Juillet 2020

Introduction Securite Informatique2019-2020

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Introduction Securite Informatique2019-2020

Transféré par

Droits d'auteur :

Formats disponibles

Introduction à la Sécurité

ESGIS - Juillet 2020

▌ Comprendre les enjeux et contours de la sécurité informatique

▌ cerner les concepts fondamentaux de la sécurité

▌ Évaluation des connaissances

■ Contrôle Terminal de 1h30 à 2h (à la fin du cours)

▌ Introduction à la sécurité informatique

 Manipulation de l’information tous les jours et sous diverses formes

Système d’information => intégration d’un ensemble d’éléments participant au

L’information peut avoir de la valeur en fonction de sa nature et dans le temps.

L’homme se sent en sécurité lorsqu’il est :

L’importance, la sensibilité ou la délicatesse de l’information peut être à un niveau

Les ordinateurs, les terminaux mobiles, les supports de stockage et de transmission,

▌ Les métiers de la sécurité informatique

▌ Les métiers de la sécurité informatique

▌ Terminologies de la sécurité informatique

 VULNÉRABILITÉ ou FAILLE : Est une brèche ou faiblesse dans un système

▌ Terminologies de la sécurité informatique

perte de confidentialité de données sensibles, indisponibilité des infrastructures et des données,

Risque = Menace x Vulnérabilité x Impact

▌ Terminologies de la sécurité informatique

▌ Terminologies de la sécurité informatique

Ensemble de principes d'organisation et de comportement pour garantir un niveau de sécurité.

 Accéder au système et aux données

 Récupérer les informations des utilisateurs

 Voler des données stratégiques et confidentielles

 Compromettre le bon fonctionnement du système

 Utiliser le système comme un « rebond » pour une attaque

 Utiliser les ressources du système

 Prouver la vulnérabilité du système – Défier

▌ Les différents types d’attaques

Sans être exhaustives, la liste ci-dessous présente quelques types d’attaques

 Accès physique (coupure, vandalisme, ajout d’équipement, vol d'équipement)

 Interception de communications (vol de session, usurpation d’identité, détournement)

 Intrusions (balayage de ports, élévation de privilèges, Maliciels)

 Ingénierie sociale (Trappes ou porte dérobée)

 Attaques par rebond (par machines interposées)

▌ La Méthodologie d’une attaque

Intrusion Extension de privilèges

Repérage de failles Déni de service

▌ Les champs d'application de la sécurité Informatique

 Sécurité du système et de l’exploitation

 Sécurité logique, applicative et sécurité de

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

 Sécuriser l’accès au système (plusieurs niveaux)

▌ Les champs d'application de la sécurité Informatique

 Privilégier une architecture au moins tripartite ou à plusieurs niveaux de sécurité : niveau

▌ Les champs d'application de la sécurité Informatique

Quelques objets à protéger :

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

 Authentification unique : Single Sign On ou SSO

 Authentification forte (multi facteurs)

▌ Les champs d'application de la sécurité Informatique

 Gestion des mots de passe

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

La cryptographie est la science de l’invention du code secret.

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique