Introduction Sécurité Informatiqu (Premiere Partie)

Introduction à la Sécurité
Informatique
ESGIS - Mai 2016

|1
OBJECTIFS DU COURS
▌ Comprendre les enjeux et contours de la sécurité informatique
▌ cerner les concepts fondamentaux de la sécurité

informatique
▌ identifier les informations sensibles,
▌ appréhender les risques et les conséquences de
l'usage et de la diffusion des données,
▌ acquérir les bons gestes et réflexes pour protéger les
données,
▌ maîtriser quelques outils et mécanismes de sécurité
Mai 2016
L2 IRT ESGIS-Cotonou
Objectifs du cours
PLAN DE COURS
▌ Introduction à la sécurité informatique
▌ Introduction
▌ Les objectifs de la sécurité informatique
▌ Les champs d'application de la sécurité informatique
▌ Terminologie de la sécurité informatique
▌ Types d'attaques
▌ Profils et capacités des attaquants
▌ Services principaux de la sécurité informatique
Mai 2016
Plan de cours
Déroulement du cours
▌ Dates et Horaires
Mois de mai 2016
■ 8h00 à 12h00 du mercredi 11 au vendredi 13
■ 8h00 à 12h00 du mercredi 18 au vendredi 20
■ Au-delà de 15mn de retard, accès au cours est interdit jusqu’à la pause
■ Toute absence non justifiée donne lieu à une pénalité de 1 point sur la moyenne
Mai 2016
Déroulement : Dates et Horaires
Déroulement du cours
▌ Évaluation des connaissances
■ Contrôle continu de 1h30 à 2h (à la fin du cours)

■ Travaux pratiques en équipes de 4 (mais notes individuelles)
Mai 2016
Déroulement : évaluation des connaissances
Introduction
 Manipulation de l’information tous les jours et sous diverses formes

 L’information au centre de tout et oxygène des temps modernes
=> Gérer l’information de façon automatique et rationnelle pour en tirer profit.
Système d’information => intégration d’un ensemble d’éléments participant au

traitement de l’information, à son transport, à son stockage, à sa manipulation et/ou à
sa diffusion au besoin.
L’information peut avoir de la valeur en fonction de sa nature et dans le temps.

=> nécessiter qu’elle :
• soit, disponible à temps voulu,
• soit, exempte de toute modification non autorisée
• revêt un caractère secret.
Mai 2016
Introduction
Introduction
L’homme se sent en sécurité lorsqu’il est :

• libre,
• non exposé au danger,
• tranquille d’esprit dans un climat de confiance et de sentiment de non menace
L’importance, la sensibilité ou la délicatesse de l’information peut être à un niveau

• personnel,
• institutionnel ou sociétaire,
• collectif voire national ou même mondial.
« La confiance est un vain mot car en dépit des lois et toutes les mesures pour se protéger,
force est de constater que le monde d’aujourd’hui est comme la jungle où les personnes de
bonne foi cohabitent avec celles de peu de foi ou de mauvaise foi prêtes à frapper fort,
péniblement et si possible durablement.
La vigilance est donc de mise et nul n’est excusable du fait de son ignorance. »
7
Mai 2016
Introduction
Introduction
Les ordinateurs, les terminaux mobiles, les supports de stockage et de transmission,

etc. sont aujourd’hui les accessoires de l’homme dans cette jungle technologique et
planétaire.
Le cri de détresse qu’on a envie de pousser tout de suite est :
« Oh, Dieu tout puissant, Dieu de miséricorde, infiniment sage et éternel, juste
et fidèle, vient nous protéger et nous sauver du méchant. »
La réponse ressemblerait à ce qui suit :
« A César ce qui est à César et à Dieu ce qui est à Dieu. Pour vivre en paix, il
faut observe mes commandements »
La sécurité informatique n’est pas un état de grâce qui s’obtient par décret. C’est un
sentiment dont l’éclosion est due à la conjonction de facteurs techniques et sociétaux
qui nécessitent un contexte favorable mais très complexe; tant sont grandes les
difficultés sa réalisation du fait des oppositions entre les différents points de vue.
8
Mai 2016
Introduction
DÉFINITION ET OBJECTIFS
▌ Définition
La sécurité informatique est l'ensemble des techniques qui assurent que les
ressources (matérielles ou logicielles) d’un système d'information d'une personne ou
d’une organisation sont utilisées uniquement dans le cadre où il est prévu qu'elles le
soient et par les personnes autorisées.
▌ Objectifs
 L’intégrité
 La confidentialité,
 La disponibilité
 L’imputabilité ou la non répudiation
 L’authentification
Mai 2016
Définition et Objectifs
▌ Objectifs
 L’intégrité
Garantir que les données sont bien celles que l’on croit.
Garantir leur non altération
Prévenir les données ou informations de modification non autorisée
 La confidentialité
Assurer que seules les personnes autorisées aient accès
Prévenir contre l’accès ou la divulgation non autorisée de l’information
Rendre l’information inintelligible aux personnes non autorisées
 La disponibilité
Prévenir contre toute entrave non autorisée à l’accès à l’information
Maintenir le bon fonctionnement du système d’information
10
Mai 2016
▌ Objectifs
 L’imputabilité ou la non répudiation
Garantir que l’on puisse remonter au responsable de toute action
Garantir la traçabilité de toute transaction
 L’authentification
Assurer que seules les personnes autorisées aient accès aux ressources
Assurer l’identité d’un utilisateur et ne lui donner accès qu’à ce à quoi son
profil à droit.
11
Mai 2016
CHAMPS D’APPLICATION
▌ Les champs d'application de la sécurité Informatique

 Sécurité physique et environnementale
 Sécurité du système et de l’exploitation
 Sécurité du réseau
 Sécurité logique, applicative et sécurité de l’information
 Sécurité procédurale
12
Mai 2016
Les champs d’application

La protection logique ne sert à rien si la sécurité physique des données et des
traitements n’est pas convenablement assurée. C’est le première rempart à garantir.
Il faut donc prendre aussi bien des mesures préventives que celles protectrices.
Les mesures préventives
Elles permettent d’éviter qu’un sinistre ne survienne et sont généralement issues d’un audit
de sécurité physique. Cela permet de :
 Garantir la qualité du bâtiment qui abrite données et traitements (à l’épreuve des intempéries et des
inondations, protégé contre les incendies et les intrusions)
 Définir un périmètre physique de sécurité et contrôler les accès (barrières, badges magnétiques,
vidéosurveillance, etc.)
 Garantir la qualité de l’alimentation électrique
 Respecter les normes et certification adéquate du câblage du réseau et des accès aux réseaux
extérieurs ainsi que des infrastructure communication
13  Faire les tests de sinistres et autres
Mai 2016

Les mesures protectrices
Les mesures préventives ne rendent pas impossible les sinistres. Les mesures
protectrices ont pour but de protéger le patrimoine en cas de sinistre ou d’incidents
matériels, logiciels ou humain :
 Détecteur de fumée, et système de déclenchement et d’extinction d’incendie
 Issus de secours et systèmes de désenfumage pour limiter la propagation d’incendie et évacuer
vers l’extérieur la chaleur, les gaz et les imbrulés
 Avoir un plan de reprise d’activité et un plan de continuité de service (Site secours, etc.)
 Contracter une assurance
14
Mai 2016

 Sécurité du système d’exploitation et de l’exploitation
 Sécuriser l’accès au système (plusieurs niveaux)

 Installer un antivirus de bonne réputation
 Gestion des profils utilisateurs et séparation des privilèges dans le systèmes
 Faire l’audit de sécurité pour découvrir les failles ou vulnérabilités du système
d’exploitation et des applications
 Appliquer les correctifs de sécurités
15
Mai 2016

 Privilégier une architecture au moins tripartite ou à plusieurs niveaux de sécurité :

niveau présentation (interface utilisateur), niveau logique (logiciels de traitement),
niveau données (stockage
 Privilégier les systèmes qui offrent une meilleure gestion de la mémoire et des
disques (organisation par sections, segmentation, cloisonnement,
 Mettre en place des procédures de maintenance, de test, de diagnostic, de mise à jour
 Avoir un plan de sauvegarde / restauration
 Avoir un plan de secours
 Faire la veille technologique
16
Mai 2016

Quelques objets à protéger :

• Matériel : processeur, devices …. (vu précédemment)
• Processus : nécessaire de séparer les processus critiques pour la sécurité
• Communication entre les processus
• Mémoire
• Fichiers : programmes et données partagées, bases de données pour le contrôle
d’accès, l’authentification, l’audit
• Périphériques partagés (disques), et utilisables séquentiellement (imprimantes)
17
Mai 2016

La plupart des incidents de sécurité surviennent par le réseau, et visent parfois
même le réseau. Il n’est plus possible de concevoir le système d’information d’une
entreprise sans intégrer la composante réseau.
Le modèle OSI à 7 couches, sans être réellement implémentation, est la meilleure
conceptualisation des réseaux à cause de sa complétude et sa clarté.
Le modèle TCP/IP est une concrétisation en 4 couche du modèle OSI.
Les éléments d’un réseau se situent au niveau des différentes couches et jouent
chacun un rôle dans les échanges de données.
Sécuriser le réseau revient à :
• sécuriser les supports de transmission et les équipements d’interconnexion
(donc l’infrastructure réseau : couches plus basses),
18
• sécuriser les accès au réseaux et aux données (couches plus hautes).
Mai 2016

Premier niveau de sécurité : sécurité physiques des installations
Second niveau de sécurité : dispositifs de sécurité logique spécifiques
• Segmentation des flux,
• Filtrage d’adresse (MAC, IP)
• VLAN,
• Pare-feu,
• Sonde anti intrusions, (IDS, IPS, leurre ou Honeypot),
• NAT au besoin
• Routeurs filtrants (ACL),
• Chiffrement (des données en local, des échanges)
• Tunnélisation ou VPN, Chiffrement,
• Accès distants via authentification de l’utilisateur et du poste
• Mise à jour des protocoles et outils réseau,
19
Mai 2016

 Gestion des mots de passe
 Authentification unique : Single Sign On ou SSO
 Authentification forte
 Chiffrement
20
Mai 2016

 Gestion des mots de passe

o Choisir des mots de passe difficiles à trouver mais faciles à retenir
o Utiliser les mots de passe assez longs et composés plusieurs types de
caractères dont les caractères spéciaux
o Utiliser des moyens mnémotechniques pour retenir facilement les mots de
passe
o Les mots de passe doivent toujours être hachés (md5, sha1, crypt) avant
leur stockage dans une quelconque bases de données et protéger l’accès à
cette dernière
21
Mai 2016

 Authentification unique : Single Sign On ou SSO

o S’authentifier une seule fois pour accéder à plusieurs services et applications
o Authentification centralisée vers un système qui gère les accès aux
applications et ressources
 Authentification forte
o Utilisation de plusieurs mécanismes d’authentification (au moins deux) pour
renforcer la sécurité
22
Mai 2016

 Chiffrement
C’est l’art de faire subir à un texte clair une transformation plus ou moins complexe
pour en déduire un texte inintelligible, dit chiffré. Cette transformation repose sur
deux éléments : une fonction mathématique (au sens large) et une clé secrète.
Seule une personne connaissant la fonction et possédant la clé peut effectuer la

transformation inverse pour obtenir le texte clair à partir du texte chiffré.
Le cryptographie est la science de l’invention du code secret.
23
Mai 2016

 Chiffrement
Il existe de types de chiffrement
o Chiffrement symétrique ou cryptographie symétrique
o Chiffrement asymétrique ou cryptographie asymétrique
24
Mai 2016


Il est encore appelé cryptographie à clé secrète et se base sur l’utilisation de la même
clé pour le chiffrement et le déchiffrement.
25
Mai 2016


La clé étant unique, aucun problème ne se pose si c’est la même personne qui crypte
qui l’utilise pour décrypter. Mais on a besoin de crypter un document puis l’envoyer
à une autre personne qui va le décrypter => partage du secret.
Quel mécanisme utiliser pour l’échange de clé sans risque d’interception par un
pirate ?
Jonglage
Solutions :
l’algorithme Diffie-Hellman
26
Mai 2016


La solution de Diffie et Hellman repose sur l’arithmétique modulaire, soit
l’arithmétique fondée sur les classes d’équivalence modulo n.
Le protocole repose sur une fonction de la forme K = WX mod P, avec P premier et

W < P.
Une telle fonction est très facile à calculer, mais la connaissance de K ne permet pas
d’en déduire facilement X. Cette fonction est publique, ainsi que les valeurs de W et
P.
Exemple à faire au cours pour illustrer.

27
Mai 2016


Quelques algorithmes de chiffrement symétrique
• Data Encryption Standard (DES).

• Triple DES
• Advanced Encryption Standard (AES)
28
Mai 2016

Il est encore appelé cryptographie à clé publique ou à paire de clés. Il se base sur
l’utilisation une clé pour chiffrer et une autre pour déchiffrer.
Le clé pour chiffrer est publique et la clé pour déchiffrer à garder secrète.
29
Mai 2016

1. Prendre deux nombres premiers très grand p et q. (de 150 chiffres et gardés secrets)
mais pour l’exemple p = 3 et q = 11.
2. Calculer n = pq, soit dans notre exemple n = 33.
3. Calculer z = (p − 1)(q − 1). Dans notre exemple z = 20.
4. Prendre un petit entier e, impair et premier avec z, soit e = 7. Dans la pratique, e sera toujours petit
devant n2.
5. Calculer l’inverse de e (mod z), c’est-à-dire d tel que e.d = 1 mod z. Dans notre exemple d = 3.
6. La paire P = (e, n) est la clé publique.
7. Le triplet S = (d, p, q) est la clé privée.
30 Algorithme de cryptage asymétrique : RSA (Rivest, Shamir et Adleman qui en sont les auteurs)
Mai 2016

Quelques définitions
Certificat électronique : Un certificat électronique numérique est une carte d'identité numérique
d’une personne physique ou morale. Il est utilisé principalement pour identifier et authentifier une
personne physique ou morale, mais aussi pour chiffrer des échanges.
Il permet de valider le lien entre une signature électronique et son signataire. Il est signé par un tiers de
confiance qui atteste du lien entre l'identité physique et l'entité numérique (virtuelle).
C’est un ensemble de données contenant :
• au moins une clé publique,
• au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est la seule autorité
permettant de prêter confiance (ou non) à l'exactitude des informations du certificat.
• des informations d'identification, par exemple : nom, localisation, adresse électronique ;
31
Mai 2016

Certificat électronique
32
Mai 2016

Certificat électronique
Exemple d’un certificat de yahoo
33
Mai 2016

Signature numérique : C’est un mécanisme permettant de garantir l'intégrité d'un document
électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier.
C’est donc une transposition dans le monde numérique de la signature manuscrite.
34
Mai 2016

Signature numérique
Pour mettre en place une signature
numérique on a besoin :
• d’un outil de chiffrement
• d’un certificat
Ci-contre, une illustration de signature

de document.
35
Mai 2016

 Sécurité procédurale
• tampon entre aspects juridiques et techniques de la sécurité
• courroie de transmission entre les obligations et interdictions légitimes et les réalisations
informatiques
• organise les rôles, les fonctions et les responsabilités des acteurs. De cette façon, toute décision-action
importante sera prise après confirmation, par une combinaison de tâches dont la bonne exécution sera
rigoureusement contrôlée.
• audit de sécurité., certification et respect des normes SSI
• Politique de sécurité
36
Mai 2016
TERMINOLOGIES
▌ Terminologies de la sécurité informatique

 MENACE : L'ensemble des éléments externes comme internes pouvant atteindre les ressources d'une
entreprise pour produire un mauvais impact.
Tout ce qui peut porter atteinte à la sécurité d’un système (indisponibilité des systèmes et des données,
destruction de données, corruption ou falsification de données, vol ou espionnage de données, usage
illicite d’un système ou d’un réseau, usage d’un système compromis pour attaquer d’autres cibles.)
 VULNÉRABILITÉ ou FAILLE : Est une brèche ou faiblesse dans un système informatique lui
conférant un niveau d'exposition face à un ou des menaces dans un contexte particulier et permettant à
un attaquant de porter atteinte à son fonctionnement normal.
37
Mai 2016
Terminologies de la sécurité
TERMINOLOGIES

 RISQUE : C’est la combinaison de la probabilité et des conséquences de la survenue d'un évènement
dangereux spécifique pour avoir un impact sur le système.
perte de confidentialité de données sensibles, indisponibilité des infrastructures et des données,

dommages pour le patrimoine intellectuel et la notoriété. Les risques peuvent se réaliser si les systèmes
menacés présentent des vulnérabilités.
Risque = Menace x Vulnérabilité x Impact

Risque = (Menace x Vulnérabilité) / Contre-mesure
Risque = Préjudice x (probabilité d’occurrence)
C’est l’analyse des risques qui doit déterminer ensuite, en fonction des vulnérabilités du système, si les menaces sont
pertinentes, c’est-à-dire si elles correspondent bien à un besoin de protection pour le client ou l’utilisateur et si leur
criticité est suffisamment élevée dans le cadre d’utilisation prévu pour le système.
C’est aussi l’analyse des risques qui doit proposer des solutions pour obtenir le niveau de risque souhaité s’il n’est pas
atteint.
38
Mai 2016
TERMINOLOGIES

 ATTAQUE (EXPLOIT) : C’est l’exploitation d'une faille ou vulnérabilité d'un système
d’information à des fins préjudiciables. elles représentent les moyens d'exploiter une vulnérabilité.
Une même vulnérabilité peut faire l’objet de plusieurs types d’attaques mais toutes les vulnérabilités
ne sont pas exploitables.
39
Mai 2016
TERMINOLOGIES

 POLITIQUE DE SECURITE : C’est l’exploitation d'une faille ou vulnérabilité d'un système
d’information à des fins préjudiciables. elles représentent les moyens d'exploiter une vulnérabilité.
Une même vulnérabilité peut faire l’objet de plusieurs types d’attaques mais toutes les vulnérabilités
ne sont pas exploitables.
40
Mai 2016

Introduction Sécurité Informatiqu (Premiere Partie)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Introduction Sécurité Informatiqu (Premiere Partie)

Transféré par

Droits d'auteur :

Formats disponibles

Introduction à la Sécurité

ESGIS - Mai 2016

▌ Comprendre les enjeux et contours de la sécurité informatique

▌ cerner les concepts fondamentaux de la sécurité

▌ Introduction à la sécurité informatique

▌ Évaluation des connaissances

■ Contrôle continu de 1h30 à 2h (à la fin du cours)

 Manipulation de l’information tous les jours et sous diverses formes

Système d’information => intégration d’un ensemble d’éléments participant au

L’information peut avoir de la valeur en fonction de sa nature et dans le temps.

L’homme se sent en sécurité lorsqu’il est :

L’importance, la sensibilité ou la délicatesse de l’information peut être à un niveau

Les ordinateurs, les terminaux mobiles, les supports de stockage et de transmission,

▌ Les champs d'application de la sécurité Informatique

 Sécurité du système et de l’exploitation

 Sécurité logique, applicative et sécurité de l’information

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

 Sécuriser l’accès au système (plusieurs niveaux)

▌ Les champs d'application de la sécurité Informatique

 Privilégier une architecture au moins tripartite ou à plusieurs niveaux de sécurité :

▌ Les champs d'application de la sécurité Informatique

Quelques objets à protéger :

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

 Gestion des mots de passe

 Authentification unique : Single Sign On ou SSO

▌ Les champs d'application de la sécurité Informatique

 Gestion des mots de passe

▌ Les champs d'application de la sécurité Informatique

 Authentification unique : Single Sign On ou SSO

▌ Les champs d'application de la sécurité Informatique

Seule une personne connaissant la fonction et possédant la clé peut effectuer la

Le cryptographie est la science de l’invention du code secret.

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

o Chiffrement symétrique ou cryptographie symétrique

▌ Les champs d'application de la sécurité Informatique

o Chiffrement symétrique ou cryptographie symétrique

▌ Les champs d'application de la sécurité Informatique

o Chiffrement symétrique ou cryptographie symétrique

Le protocole repose sur une fonction de la forme K = WX mod P, avec P premier et

Exemple à faire au cours pour illustrer.

▌ Les champs d'application de la sécurité Informatique

o Chiffrement symétrique ou cryptographie symétrique

• Data Encryption Standard (DES).

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

Exemple d’un certificat de yahoo

▌ Les champs d'application de la sécurité Informatique

▌ Les champs d'application de la sécurité Informatique

Ci-contre, une illustration de signature

▌ Les champs d'application de la sécurité Informatique

▌ Terminologies de la sécurité informatique

▌ Terminologies de la sécurité informatique

perte de confidentialité de données sensibles, indisponibilité des infrastructures et des données,

Risque = Menace x Vulnérabilité x Impact

▌ Terminologies de la sécurité informatique