Vous êtes sur la page 1sur 61

LA SECURITE INFORMATIQUE

INTRODUCTION

TETE K. Senam
Ingénieur en Système d’information
& objets connectés aux Centre
National de Traitement de Données
(CNTD)
Objectifs du cours
´ Comprendre les enjeux de la sécurité
´ Définir l’information
´ Définir les principes de la sécurité et leurs applications
´ Connaitre les domaines de la sécurité
´ Connaitre les normes et méthode contribuant à la
définition d’une politique de sécurité
´ Distinguer les risques et leurs gestions
Panorama des systèmes d’informations
´ Un système d’information est généralement défini par l’ensemble
des données et des ressources matérielles et logicielles de
l’entreprise permettant de les stocker ou de les faires circuler
´ Organisation des activités consistant à acquérir, stocker,
transformer, diffuser, exploiter, gérer …..les informations

´ Aujourd’hui les systèmes d’information sont de nature différentes:


´ De plus en plus d’informations
Panorama des systèmes d’informations
´ Grande diversité dans la nature des informations
• Données financières
• Données techniques
• Données médicales
Ces données constituent les biens des des personnes et entreprises
et peuvent êtres convoitées
un des moyens techniques pour faire fonctionner un système
d’information est d’utiliser un système informatique
Les systèmes informatiques sont devenus la cible de ceux qui
convoitent l’information
Assurer la sécurité de l’information d’assurer la sécurité des
systèmes informatiques
Enjeux de la sécurité
´ Le système d’information doit être disponible en permannence,
toute entreprise de nos jours dépend de cette disponibilité.sans
système d’information, l’information n’est généralement pas ou peu
utilisable
´ La securité est devenue une activité informatique à part entière
• Tout informaticien, quelque soit son role, ne peut ignorer les
menaces que représentent les multiples et nombreuses tentatives
d’accès non autorisés que subissent en permanence les SI
• Differencier la notion de SI et de système informatique:
• SI=ensemble des actifs informationnels
• Système informatique= restriction aux élements traitant des données
• Un rôle important: le responsable de la sécurité su SI
Sécurité informatique

Ø Un monde hyperconnecté
Ø De nos jours se sont les objets du quotidiens qui sont connectés
Ø Notre mode vie ultraconnecté
Ø defi pour les differentes institutions
Ø Ouverture prudentes des points de connexion
La securité informatique

´ La securité informatique c’est l’ensemble des moyens mis en œuvre


pour reduire la vulnérabilité d’un système contre les menaces
accidentelles ou intentionnelles
Les motivations
´ Présentation des faits:
Les motivations

Les propriétaires de ces objets ne changent pas les mots


de passe par defauts
La plusparts de ces attaques se passent par des mails
ou documents telechargés sur des sites internet
Les motivations

´ Les effets:
Ø Perte ou mise en danger de la vie humaine
Ø Pertes financières
Ø Utilisation ou abus non autorisés des systèmes
informatiques à des fin criminelles
Ø Perte, changement et/ ou altération des données ou
logicielles……..
Les motivations

Ø Exemples d’ effets
Rappel TCP/IP
Etablissement d’une connexion
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Rappel TCP/IP
Faiblesse des couches
´ Couche physique:
Exemple :Faiblesse du protocole ARP, usurpation d’adresses
physiques (adresses mac)
´ Couche réseau:
exemple: usurpation d’adresses (ipspoofing), mauvaise fragmentation
IP, attaque sur le routage, tunneling dans le paquet ICMP
´ Couche applicative: failles applicatives, détournement de protocole
pour cacher l’information
Les objectifs de la sécurité

´ La sécurité d’un système d’information repose sur six grand principes:


Les objectifs de la sécurité
Les objectifs de la sécurité
Les objectifs de la sécurité
Les objectifs de la sécurité
Les objectifs de la sécurité
La sécurité est globale
´ Securité des réseaux:
• Technologie s’appliquant à tous les niveaux d’un système infomatique implque une
apporche systémique
• Materiel, réseau, système d’exploitation, logiciel, utilisateur
• Toutes les composantes doivent être sécurisées

´ Le Niveau de securité est proportionnel au niveau de sécurité du maillon le plus


faible
´ Le Niveau de securité est inversement proportionel à la facilité d’utilisation
´ Securité egale gestion du risque égale pas une technologie mais un processus
Les domaines de la sécurité
´ Tous les domaines de l'informatique sont concernés par la
sécurité d'un système d'information

´ En fonction de son domaine d'application, la sécurité


informatique se décline

§ en Sécurité physique

§ Sécurité de l'exploitation

§ Sécurité logique

§ Sécurité applicative

§ Sécurité des télécommunications


Les domaines de la sécurité
´ La sécurité physique

§ Concerne tous les aspects liés de l'environnement dans lequel les systèmes se
trouvent:

§ La sécurité physique passe donc par

§ Des normes de sécurité

§ Protection de l'environnement (incendie, température, humidité, ... )

§ Protection des accès

§ Redondance physique

§ Plan de maintenance préventive (test, ... ) et corrective (pièce de rechange, .)


Les domaines de la sécurité
´ La sécurité de l’exploitation

§ Rapport à tous ce qui touche au bon fonctionnement des systèmes

§ Cela comprend la mise en place d'outils et de procédures relatifs aux


méthodologies d'exploitation, de maintenance, de test, de diagnostic
et de mise à jour

§ La sécurité de l'exploitation dépend fortement de son degré


d'industrialisation qui est qualifié par le niveau de supervision des
applications et l'automatisation des tâches
Les domaines de sécurité
´ La sécurité de l’exploitation

Quelques points clés de cette sécurité:

§ Plan de sauvegarde, de secours, de continuité, de tests

§ Inventaire réguliers et si possible dynamique

§ Gestion du parc informatique, des configurations et des mises


à jour

§ Contrôle et suive de l'exploitation


Les domaines de la sécurité
´ La sécurité logique fait référence à la réalisation de mécanismes de
sécurité par logiciel
§ Elle repose sur la mise en œuvre d'un système de contrôle d'accès logique
s'appuyant sur un service d'authentification, d'identification et
d'autorisation
§ Elle repose également sur
• les dispositifs mis en place pour garantir la confidentialité dont la
cryptographie
• une gestion efficace des mots de passe et des procédures d'authentification
• Des mesures antivirus et de sauvegarde des informations sensibles
§ Pour déterminer le niveau de protection nécessaire aux informations
manipulées, une classification des données est à réaliser pour qualifier leur
degré de sensibilité (normale, confidentielle, top secrète, ... )
Les domaines de la sécurité
´ La sécurité des télécommunications

§ Offrir à l'utilisateur final une connectivité fiable et de qualité de


« bout en bout »

§ Il faut donc mettre un canal de communication fiable entre les


correspondants, quels que soient le nombre et la nature des
éléments intermédiaires

§ Cela implique la réalisation d'une infrastructure réseau sécurisée au


niveau des accès, des protocoles de communication, des systèmes
d'exploitation et des équipements
Les domaines de la sécurité
´ La sécurité applicative
Faire un développement pertinent et l'intégrer harmonieusement dans
les applications existantes
Cette sécurité repose essentiellement sur
• Une méthodologie de développement
• La robustesse des applications
• Des contrôles programmés
• Des jeux de tests
• Un plan de migration des applications critiques
• La validation et l'audit des programmes
• Un plan d'assurance sécurité
DIRIGER LA SECURITE
´ La sécurité informatique passe par la définition d'une politique de
sécurité et la formation du personnel

´ Elle est en constante évolution et se traduit par un problème de


gestion de la qualité constante lié pour l'essentiel à la maintenabilité
et à l'évolution des systèmes, des enjeux et des risques

´ Dans de nombreuses entreprises, l'outil informatique est essentiel


dans son développement, le moindre dysfonctionnement constituent
donc un risque majeur
ARCHITECTURE DE LA SECURITE
´ Elle permet de visualiser toutes les dimensions de la sécurité
Dimension technique et opérationnelle
Sécurité matérielle
Sécurité environnementale
Sécurité des télécommunications ...
´ Dimension organisationnelle et économique
Méthodologie
Budget
Evaluation ...
´ Dimension humaine
Surveillance
Ethique
Formation ...
ARCHITECTURE DE LA SECURITE
´ Dimension juridique et réglementaire

Normes & législation

Procédures & contrats

Conformité….

´ Cette architecture est indispensable si l'on veut prendre en compte


l'ensemble des problèmes de sécurité d'une entreprise

´ Elle permet d'identifier les critères minima de sécurité pour chacun


des éléments

´ Permet également d'harmoniser le niveau de sécurité dans toutes les


dimensions
LE JURIDIQUE
´ La responsabilité des acteurs (responsable sécurité, ...) est de plus en plus
invoquée lors de sinistre où les ressources informatiques qu'ils gèrent sont
l'objet ou le moyen d'une fraude

´ Il est donc nécessaire de pouvoir prouver que des mesures sont pourtant
prise pour sécuriser le système afin de se protéger contre un délit de
manquement à la sécurité

§ A défaut d'une obligation de résultat, les responsables de systèmes


informatiques ou sécurité ont une obligation de moyens

´ Les responsables d'entreprises doivent également être extrêmement


attentifs à l'égard du droit des nouvelles technologies
la gestion des risques
´ La gestion des risques constitue le point de départ de l’analyse des
besoins sécuritaire qui permet la définition de la politique de
sécurité

´ Aucune politique de sécurité, nul service de sécurité, aussi


perfectionné soit-il, ne tient si l’intégrité des personnes
(responsables sécurité, réseau, systèmes ou utilisateur) se trouve en
cause.

´ Ne perdons pas de vue que le maillon faible de la sécurité est


toujours l’humain.
La gestion des risques
´ La stratégie sécuritaire répond aux principes suivants:

§ Les risques ayant une occurrence faible et une conséquence faible sur
l’entreprise ne sont pas pris en compte a priori. On peut cependant mitiger ce point
par le fait que la combinaison de risques faibles peut engendrer un risque fort. Ils
doivent donc être pris en compte.

§ Les risques ayant une occurrence forte et une conséquence forte ne doivent pas
exister par nature, car ils mettraient en cause les activités de l’entreprise. Si de tels
risques existent, ils est probable que les coûts nécessaires pour les réduire seront
trop importants pour l’entreprise. Il est donc nécessaire de faire appel à des
assurances pour les couvrir.

§ Les risques ayant une occurrence forte et une conséquence faible doivent être
pris en compte et faire l’objet d’une analyse coût/acceptation du risque
La gestion des risques
§ Les risques ayant une occurrence faible et une conséquence forte
doivent être pris en compte et faire l’objet d’une analyse coût/acceptation
du risque. Il est probable qu’il faille faire appel à des assurance pour les
couvrir.

§ Tous les autres cas doivent être pris en compte et faire l’objet d’une
analyse coût/acceptation du risque.

´ Bien que la sécurité absolue n’existe pas en soi, l’entreprise détermine le


niveau de risque qu’elle est prête à accepter sur ses ressources en
comparaison avec le coût induit par les menaces qu’elle encourt.

´ Gestion des risques: analyse-évaluation-appréciation-traitement


Les propriétés d’une politique de sécurité

´ Les Propriétés d’une politique de sécurité se traduisent par la réalisation des


mesures, fonctions, procédures, services comme:
§ Des règles de classification de l’information, d’utilisation des ressources
§ des outils: contrôles d’accès, chiffrement des données….
§ Des contrats de services: clause responsabilité, devoir ……
§ Des plans gestion de crise, de secours, de continuité et de reprise
§ Des mesures d’assurance, de gestion de la performance
´ La définition de la politique de sécurité doit être :
§ Simple et compréhensible
§ Aisément réalisable
§ De maintenance facile
§ Vérifiable et contrôlable
§ Adoptable par un personnel préalablement sensibilité, voire formé
Méthodes et normes contribuant à la
définition d’une politique de sécurité
´ Une démarche de sécurité traite de l’organisation de la sécurité, l’inventaire des
risques relatifs aux actifs informationnels, de la définition d’une architecture de
sécurité, de l’établissement d’un plan de continuité

´ Il faut pouvoir identifier les risques avant d’identifier les parades à mettre en
place. on peut s’appuyer alors sur une méthode qui facilite l’identification des
points principaux à sécuriser ou sur des normes

´ Les méthodes préconisés par le CLUSIF sont historiquement MARION(Méthode


d’Analyse des Risques Informatiques et Optimisation par Niveau) et MEHARI
(Méthode Harmonisée d’Analyse des Risques)
La méthode MEHARI
´ Propose un cadre et une méthode qui garantissent la cohérence des
décisions prises au niveau directorial

´ Structure de sécurité de l’entreprise sur une base unique


d’appréciation, dans la complexité des systèmes d’information

´ Permet la recherche de solutions au niveau opérationnel de la


sécurité en délégant les décisions aux unités opérationnelles et
autonomes

´ Assure, au sein de l’entreprise, l’équilibre des moyens et la


cohérence des contrôles.
La méthode MEHARI
´ Quelques application de méhari

§ Plan stratégique de sécurité

§ Plan opérationnel de sécurité

§ Traitement d’une famille de scénario

§ Traitement d’un risque spécifique

§ Traitement d’un critère de sécurité

§ Traitement d’un scénario particulier

§ Traitement d’une application opérationnelle

§ Traitement d’un projet


La méthode Marion
´ Egalement développée par le CLUSIF, cette méthode est
aussi destinée spécifiquement aux petites et moyennes
entreprises. Elle comporte quatre phases distinctes:
§ la préparation,
§ l’audit des vulnérabilités,
§ l’analyse de risques et
§ le plan d’action.
Méthode COBIT (Control Objectives for
Information and related Technology)
´ Développée par l’ISACA (Information System Audit and Control
Association), cette méthode est destinée aux managers, auditeurs et
utilisateurs. Elle couvre quatre domaines principaux:
§ planification et organisation,
§ acquisition et support,
§ distribution et support,
§ surveillance.
Méthode OCTAVE(Operationally Critical Threat,
Asset, and Vulnerability Evaluation)

´ Développée par l’Université de Carnegie-Mellon, cette


méthode est destinée aux grandes entreprises. Elle est articulée
autour de trois phases:
§ délimitation du niveau organisationnel,
§ identification des vulnérabilités,
§ développement d’un plan de sécurité.
´ Cette méthode s’appuie volontairement sur les ressources
internes de l’entreprise plutôt que sur des auditeurs externes.
Les avantages et inconvénients de l’utilisation d’une méthode pour
définir une politique de sécurité

´ Avantages:

§ Gain en termes d’efficacité, capitalisation des expériences

§ Langage commun, référentiel d’actions, approche exhaustive

§ Etre associé à un groupe d’intérêt partage de documentation, formation

´ Inconvénients:

§ Les méthodes n’évoluent pas au même rythme que le besoins ou les technologies

§ La méthode est générale. Il faut savoir la spécifier en fonction des besoin


particulier de l’entreprise

§ Prolifération des méthodes: difficultés de choix

§ Difficulté à maitriser la démarche qui peut s’avérer lourde


De la politique aux mesures de sécurité
´ Le degré de criticité d’une ressource indique son niveau d’importance et le niveau
de dépendance de celle-ci vis-à-vis de la ressource. Plus la ressource est évalué
comme critique, plus les impacts négatifs dus à son indisponibilité ou défaut
d’intégrité ou confidentialité seront importante

´ Exemples de classification des données:

§ Publiques : degré de sensibilité 0

§ Privées: degré de sensibilité1

§ Financières : degré de sensibilité 2

§ Secrètes :degré de sensibilité3


De la politique aux mesures de sécurité
´ Les mesures de sécurités se distingue en fonction de ceux sur quoi elles portent
et selon leur nature il peut s’agir, des mesures procédurales et managériales
d’outils technologiques….

On a :

§ Les mesures préventives: elles servent de barrière afin d’empêcher la réalisation


d’incidents, d’une malveillance ou d’une erreur ( procédure de contrôle d’accès,
détecteur de virus…)

§ Les mesures structurelles: elles agissent sur structure, l’architecture ,


l’organisation du système d’information( le cloisonnement d’environnement, la
redondance…..)
De la politique aux mesures de sécurité

§ Les mesures de dissuasion: elles autorisent une prévention en décourageant les


agresseurs de mettre à exécution une menace(procédure juridique, moyens de
détections des traces)

§ Les mesures de protection ont pour objectifs de renforcer la sécurité et la robustesse


des ressources et de diminuer les détériorations consécutives à la réalisation d’une
menace( détecteur d’intrusion, d’humidité….)

§ Les mesures palliatives ou correctives telles que les sauvegardes, les plans de
continuité, les redondances

§ Les mesures de récupération autorisent un retour au fonctionnement normal et


limitent les pertes consécutives à un sinistre et réduisent le préjudice subit par un
transfert des pertes sur tiers(assurance) ou par attribution de dommages et intérêt
consécutif à une action en justice
Continuité des services, des activités et
gestions de crise
´ Pour limiter les dommages consécutifs malgré les mesures de prévention et
de protection, il faut au préalable avoir planifié les différentes activités et
procédures qui seront activées

´ Le plan de continuité doit permettre l’identification des activités et des


fonctions critiques, pour définir les mesure afin d’assurer la continuité

´ Le plan de continuité des activités à pour objet de minimiser l’impact des


sinistres touchant les processus métiers de l’entreprise

´ Le plan de reprise permet de rétablir les fonctions et activités critiques


dans un laps de temps le plus court possible avec un minimum de perte
QUESTIONS?

Vous aimerez peut-être aussi