Securite S1

1- Introduction à la Sécurité Informatique

Sécurité Informatique
Filière : GI2
Prof. Nabil KANNOUF
UAE – ENSAH
14 mars 2022
Plan
1 Généralités
Définition et enjeux
Les objectifs de la sécurité informatique
État de l’art
2 La sécurité en entreprise
Politique de sécurité
Le rôle de l’informaticien
Conclusion
1.1- Généralités
1.1- Généralités
1.1- Généralités
1.1.1- Définition et enjeux

1.1- Généralités
Définition de la sécurité informatique
Definition
Information security is the protection of information [Assets] from a
wide range of threats in order to ensure business continuity,
minimize business risks and maximize return on investment and
business opportunities.
1.1- Généralités
Sécurité informatique
Les systèmes informatiques sont au cœur des systèmes d’information
Ils sont devenus la cible de ceux qui convoitent l’information
Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes

informatiques
1.1- Généralités
La sécurité des systèmes d’informations

1.1- Généralités

1.1- Généralités

1.1- Généralités
Qui sont les pirates ?
Peut être n’importe qui avec l’évolution et la vulgarisation des connaissances
Beaucoup d’outils sont disponibles sur Internet

Trois générations :
B 80’s-90’s : techniciens éclairés
B 1990-2000 : script kiddies
B 2000-aujourd’hui : l’insécurité devient facilement rentable
? Pub, SPAM
? e-commerce
? Espionnage industriel
? ...
1.1- Généralités
Quels sont leurs objectifs
Objectifs des attaques :

B Prouver ses compétences techniques
B Représailles
B Désinformer
? ex : Amazon
B Empêcher l’accès à une ressource
? Bombes logiques, DOS
B Prendre le contrôle d’une ressource
? BotNets
B Récupérer de l’information sur un système
? Espionnage industriel
B Générer des revenus
? Vol, Extorsion, Publicité
1.1- Généralités
Les risques pour l’entreprise
Les risques encourus par l’entreprise :

Les risque stratégiques
B Destruction/altération de données
? Exemple : Boeing (57000$ après une intrusion)
B Vol de données stratégiques
? Exemple : Gartner William Malik (900 M$)
Les autres risques

B Le commerce électronique
? Exemple : Kevin Mitnick et Netcom
B Piratage de site web
? Image de marque, militantisme
1.1- Généralités
La sécurité, un marché porteur 1
1. Rapport de synthèse de l’industrie française de sécurité(IFS), année : 2015

1.1- Généralités

1.1- Généralités

1.1- Généralités

1.1- Généralités

1.1- Généralités
1.1.2- Les objectifs de la sécurité informatique

1.1- Généralités
Objectifs
Les trois principaux objectifs de la sécurité informatique :[0]

[1]
B Confidentialité [1]
B Intégrité
B Disponibilité
1.1- Généralités
Objectifs

[1]
[1]
B Confidentialité
B Intégrité
B Disponibilité
1.1- Généralités
Objectifs

[1]
[1]
B Confidentialité
B Intégrité
B Disponibilité
1.1- Généralités
Objectifs

[1]
[1]
B Confidentialité
B Intégrité
B Disponibilité
1.1- Généralités
Confidentialité
Définition
Propriété d’une donnée dont la diffusion doit être limitée aux seules personnes autorisées
Menaces : Contre-mesures :
B Écoute du réseau B Cryptographie (chiffrement)
? Interne ? Des Données
? Externe ? Des communications
B Vol de fichiers B Contrôle d’accès
? Données ? Logique (mot de passe)
? Mot de passe ? Physique (biométrie)
B Espionnage B Classification des actifs
B Ingénierie sociale B Formation du personnel
1.1- Généralités
Intégrité
Définition
Propriété d’une donnée dont la valeur est conforme à celle définie par son propriétaire
Contre-mesures :
B Cryptographie
Menaces :
? Signature,
B Attaques malicieuses
? authentification
? Vers, virus
B authentification
? Bombes logiques
? Antivirus,
B Désinformation ? systèmes de détection d’in-
B Erreurs humaines trusion (IDS)
B Politique de sauvegarde
1.1- Généralités
Disponibilité
Définition
Propriété d’un S.I capable d’assurer ses fonctions sans interruption, délai ou dégradation,
au moment même où la sollicitation en est faite
Menaces : Contre-mesures :
B Attaques malicieuses B Pare-feu
? Denis de services
B Systèmes de détection d’intru-
? SPAM
sions
B Attaques accidentelles
? Le "Slashdot effect" B Clustering
B Pannes B Formation des administrateurs
1.1- Généralités
Les actifs de l’entreprise
Que protéger ?
Définition
Les actifs informationnels représentent l’ensemble des données et des systèmes de
l’information nécessaires au bon déroulement d’une entreprise
B Base de données clients

B Codes sources
? Vente et Marketing
? Équipe de développement
B Base de données des employés
? Ressources humaines
B Base de données usagers
B Portail web ? Équipe système
? Vente
1.1- Généralités
Objectifs (reformulés) :
La sécurité de l’information consiste à protéger les actifs informa-

tionnels afin d’assurer l’intégralité de leurs propriétés
Les actifs et leurs propriétés sont définis par les objectifs d’affaire
1.1- Généralités
1.1.3- État de l’art

1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.1- Généralités
État d’art
1.2- La sécurité en entreprise

1.2.1- Politique de sécurité

Définition
Les politiques de sécurité sont des énoncés généraux dictées par les cadres
supérieurs décrivant le rôle de la sécurité au sein de l’entreprise afin d’assurer les
objectifs d’affaire.
Pour mettre en œuvre ces politiques, une organisation doit être mise en place.
Définition des rôles, des responsabilités et des imputabilités

Compromis sécurité - fonctionnalité :

Définir les besoins.
B Déterminer les actifs à protéger et leurs propriétaires
? Quelles sont leurs valeurs ? Quelles sont leurs criticités ? Quelles sont leurs propriétés ?
B Déterminer les menaces représentant des risques
? Quels sont les acteurs ? attaqueurs ? Quels sont leurs moyens ?
B Déterminer les objectifs à atteindre
? Quelles sont les propriétés des actifs à protéger ?
Proposer une solution.
B Déterminer les contre-mesures à mettre en place
Évaluer les risques résiduels.
B Déterminer quelles sont les vulnérabilités toujours présentes
B Déterminer leurs impacts sur les objectifs initiaux
Création d’une politique de sécurité :
Mise en œuvre
Audit
Tests d’intrusion
Détection d’incidents
Réactions
Restauration
Quelques méthodes :
EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité)

B http ://www.ssi.gouv.fr/fr/confiance/ebios.html
MEHARI (MEthode Harmonisée d’Analyse de Risques)

B http ://www.clusif.asso.fr/fr/production/mehari
Critères Communs
B http ://www.commoncriteriaportal.org
La norme ISO 17799 Présentation

B http ://www.clusif.asso.fr/fr/production/ouvrages/pdf/Presentation-ISO17799-2005.pdf
Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

1.2.2- Le rôle de l’informaticien

Logiciel de sécurité par excellence ?
Pare-feu ?
Antivirus ?
Système de détection d’intrusions ?
... ?
PowerPoint ! ! !
Le problème
L’industrie de la sécurité
B En 2003, le marché de la sécurité réseau était évalué à 45 milliards USD

B Constat
? L’approche traditionnelle de sécuriser le périmètre du réseau ne semble pas adéquate
puisque nous avons toujours les mêmes problèmes
B Raisons :
? Le manque d’information des utilisateurs
? La qualité des logiciels
Le rôle du développeur
La sécurité des logiciels est donc critique !

B 50% des vulnérabilités proviennent des erreurs de conception
B 50% des vulnérabilités proviennent des erreurs d’implémentation
? Dépassement de mémoire et d’entier
? Concurrence critique
Microsoft’s Trustworthy Computing Initiative

B Mémo de Bill Gates en janvier 2002 présente la nouvelle approche de Microsoft de
développer des logiciels sécurisés
B Microsoft aurait dépensé plus de 300 millions USD
Workshop on Rapide Malware 2006

B Un panel reconnaissait l’impact de cette initiative sur la prévalence des vers et des
virus
Solution
Plusieurs solutions
B Développement fiable (cycle en V , en W , etc.)
B Politique qualité au sein de l’entreprise (ISO, CMMI)
B Informer !
1.2.3- Conclusion
1.2.3- Conclusion
1.2.3- Conclusion
Conclusion
La sécurité informatique ne doit plus être ignorée !
Connaissez-vous vous-même
B Déterminer les actifs qui doivent être protégés et leurs propriétés
B Déterminer les objectifs à atteindre
Connaissez vos ennemis

B Déterminer les menaces contre lesquelles ils doivent être protégés
Réagissez !
B Politique de sécurité
B Principes, guides et règles connues
B Informer
1.2.3- Conclusion
Fin de Séance
Vos Questions ?

Securite S1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite S1

Transféré par

Droits d'auteur :

Formats disponibles

1- Introduction à la Sécurité Informatique

1- Introduction à la Sécurité Informatique

Prof. Nabil KANNOUF

1.1.1- Définition et enjeux

Définition de la sécurité informatique

Les systèmes informatiques sont au cœur des systèmes d’information

Ils sont devenus la cible de ceux qui convoitent l’information

Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes

La sécurité des systèmes d’informations

La sécurité des systèmes d’informations

La sécurité des systèmes d’informations

Qui sont les pirates ?

Peut être n’importe qui avec l’évolution et la vulgarisation des connaissances

Beaucoup d’outils sont disponibles sur Internet

Quels sont leurs objectifs

Objectifs des attaques :

Les risques pour l’entreprise

Les risques encourus par l’entreprise :

Les autres risques

La sécurité, un marché porteur 1

1. Rapport de synthèse de l’industrie française de sécurité(IFS), année : 2015

La sécurité, un marché porteur 1

1. Rapport de synthèse de l’industrie française de sécurité(IFS), année : 2015

La sécurité, un marché porteur 1

1. Rapport de synthèse de l’industrie française de sécurité(IFS), année : 2015

La sécurité, un marché porteur 1

1. Rapport de synthèse de l’industrie française de sécurité(IFS), année : 2015

La sécurité, un marché porteur 1

1. Rapport de synthèse de l’industrie française de sécurité(IFS), année : 2015

1.1.2- Les objectifs de la sécurité informatique

Les trois principaux objectifs de la sécurité informatique :[0]

Les trois principaux objectifs de la sécurité informatique :[0]

Les trois principaux objectifs de la sécurité informatique :[0]

Les trois principaux objectifs de la sécurité informatique :[0]

Les actifs de l’entreprise

B Base de données clients

La sécurité de l’information consiste à protéger les actifs informa-

1.1.3- État de l’art

1.2- La sécurité en entreprise

1.2.1- Politique de sécurité

Définition des rôles, des responsabilités et des imputabilités

Compromis sécurité - fonctionnalité :

Création d’une politique de sécurité :

EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité)

MEHARI (MEthode Harmonisée d’Analyse de Risques)

La norme ISO 17799 Présentation

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

Exemple ISO 17799

1.2.2- Le rôle de l’informaticien

Logiciel de sécurité par excellence ?

Système de détection d’intrusions ?

B En 2003, le marché de la sécurité réseau était évalué à 45 milliards USD

La sécurité des logiciels est donc critique !

Microsoft’s Trustworthy Computing Initiative