Vous êtes sur la page 1sur 8

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

LA SCURIT DES SYSTMES D'INFORMATION


1. Pourquoi scuriser son systme d'information. ..............................................2 2. Les objectifs en matire de scurit. ..............................................................2
2.1. Les enjeux pour la scurit.........................................................................................................2 2.2. Dfinition des objectifs du systme de scurit........................................................................3 2.3. Dmarche de mise en uvre de la scurit................................................................................3

3. Les solutions techniques.................................................................................5 4. Un bon systme de scurit. ...........................................................................5 5. La scurit des changes. ...............................................................................6
5.1. Les protocoles..............................................................................................................................6 5.1.1. Le protocole SSL (TLS). 5.1.2. Le protocole IPSEC. 5.1.3. Le protocole S/MIME. 5.2. Le mcanisme d'un change SSL...............................................................................................7 5.3. Le mcanisme dun change IPSEC. .........................................................................................8 5.4. Le mcanisme d'un change S/MIME. ......................................................................................8

La scurit des syst m es dinform ation

Sommaire - Page 1

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

La scurit des syst m es dinform ation

Objecti fs 0

f 1001,

5( )32(q)31 u1-46ee[( 5( )32(t6(37-1331 u131 t)(37- ) 45 o131 u1-46e )32(p1-46ea[( 5()-181t)(37-i)4(ie[( 5( )32(d1-46ee)( 5( ) 45 l)4(ie[T2(u1-46e)-1

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

2.2. Dfinition des objectifs du systme de scurit. Les objectifs du systme de scurit sont multiples et plusieurs niveaux. Pour mmoire, quand on parle des objectifs en matire de scurit on voque les lettres DIC.

ISPONIBILIT : Les utilisateurs doivent avoir accs aux informations dont ils ont besoin au moment opportun. Il faut donc veiller ce que le systme n'ait aucune dfaillance. On peut distinguer 2 types de dfaillances : Les dfaillances techniques telles qu'une panne du courant qui bloque compltement le systme ou un disque dur qui tombe en panne, ce qui peut rendre le systme informatique inutilisable selon l'importance des informations qui y sont stockes. les dfaillances par malveillance. Il arrive que le systme soit bloqu ou endommag par un oprateur non autoris qui pntre dans la rseau en dtruisant des fichiers, ou en crant des dysfonctionnements (virus, bombe logique, et autres).

NTGRIT : Le systme de scurit doit permettre d'empcher toute personne de modifier des informations stockes ou transmises par le systme ou d'effectuer des rexpditions ou dtournements frauduleux. Ce genre de problme peut tre commis par erreur, mais aussi et surtout par malveillance ou par intrt. ONFIDENTIALIT : Aucune personne non autorise ne doit avoir accs aux informations sensibles de l'entreprise. Le systme devra donc permettre de restreindre l'accs aux seules personnes autorises. 2.3. Dmarche de mise en uvre de la scurit. Cette dmarche se dcoupe en 2 tapes : l'analyse des risques et la mise en place d'u ne organisation. Analyse des risques. Une dmarche de scurisation des rseaux commence par une analyse globale de l'existant et une valuation des risques encourus. Pour l'analyse et la rduction des risques informatiques, il existe des mthodes telles que Marion diffuse par le Clusif (CLUb de la Scurit Informatique Franais) ou Melisa conue par la DGA (Dlgation Gnrale pour l'Armement) dont des versions orientes plus spcifiquement sur la scurit des rseaux ont t dveloppes.

La scurit des syst m es dinform ation

Objecti fs - Page 3

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

Mise en place d'une organisation. Plusieurs tches doivent tre effectues pour assurer une organisation scuritaire optimale. dfinir un poste de responsable scurit du service informatique (RSSI) ou plus exactement du parc informatique. Ce responsable doit disposer des moyens financiers la hauteur des objectifs dfinis. dfinir le responsable pour chaque lment du systme d'information. C'est celui qui devra dcider des contraintes de scurit. tablir des rgles et procdures d'valuation du ni veau de scurit pour chaque donne ou traitement ainsi que les droits associs chaque fonction ou chaque type d'u tilisateur. dfinir les procdures adopter pour tout mouvement dans les locaux : arrive ou dpart d'un employ, du personnel intrimaire (pour la gestion des badges par exemple), dplacement du matriel, etc. prvoir un amnagement des locaux permettant d'intgrer les protections ncessaires au bon fonctionnement du systme de scurit. sensibiliser le personnel l'enjeu de la scurit par des squences d'explication et de formation afin d'o btenir leur adhsion et leur respect des contraintes scuritaires. tester rgulirement le plan de secours : incendie, sauvegarde, maintenance, 3. Les solutions techniques. Il existe plusieurs types de solutions tous les niveaux : Contrats d'assurance : notamment contre l'impossibilit d'activit (en cas de sinistre par exemple). La compagnie prend sa charge de simuler financirement une activit normale. Les assurances peuvent couvrir galement les vols ou dtriorations de matriel et de donnes. Protection des locaux. Construction des locaux tudis (rangement des fils, goulottes pour les prises et les cbles rseaux). Protection contre l'incendie et l'inondation. Protection des matriels. Dispositifs de continuit de l'alimentation lectrique (onduleurs) ; dispositifs tolrance de pannes au niveau des architectures matrielles et de communication ; sites de secours pour stocker les sauvegardes ; tlsurveillance contre les intrusions malveillantes. Protection des accs. Authentification des accs au rseau, et des accs aux salles sensibles (laboratoires de recherche, ...). Protection des donnes. Contrle d'accs et compartimentation (distinction des donnes accessibles et des donnes non accessibles) ; sauvegarde rgulire quotidienne, hebdomadaire et autres ; installation d'un antivirus efficace. Protection des changes. Instauration de serveurs de scurit. Un serveur de scurit est un dispositif matriel (nomm antserveur) ou logiciel. Placs en amont ou en aval du systme scuriser, ces serveurs permettent d'assurer certaines fonctions de scurits : systme d'authentification, contrle d'accs, chiffrement, signature lectronique, serveur de secours, outil d'audit, etc.

La scurit des syst m es dinform ation

Solutions techni ques - Page 4

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

Les systmes d'authentification ont pour objectif de garantir l'identit de l'interlocuteur. Cette identification s'effectue par la reconnaissance de son nom ou plus probablement de son code ; l'authentification s'effectue par la cohrence de son identification avec l'un des trois lments suivants : ce qu'il sait : dlivrance d'un mot de passe ou d'u n code confidentiel ; ce qu'il possde : lecture d'une carte mmoire ; ce qu'il est : reconnaissance vocale, rtinienne, des empreintes digitales ou mme olfactive ou d'ADN. Les produits de chiffrement ont pour objectif de garantir l'intgrit et la confidentialit des informations. Ils effectuent un codage des informations l'aide d'un algorithme spcifique et d'une cl. Le dchiffrement consiste au dcodage de l'information chiffre par un dispositif connaissant l'algorithme de dchiffrement et la cl. Il s'agit de logiciels ou de priphriques spcialiss venant s'intercaler entre l'ordinateur et le rseau. Attention : il existe des contraintes juridiques quant l'emploi d'algorithmes de chiffrement : l'autorisation doit tre demande et l'algorithme dpos au Ministre de l'Intrieur, moins d'utiliser un logiciel dpos, pour lequel les concepteurs ont dj fait ces dmarches. La signature lectronique permet d'assurer l'intgrit des donnes et la non rpudiation Il s'agit d'informations rajoutes au message transmis pour donner une information supplmentaire permettant, soit de contrler qu'il n'y a pas d'erreurs de transmission ou de rejet, soit de disposer d'une preuve non rpudiante de l'envoi des donnes par l'metteur. La signature peut tre chiffre. Rpudier : nier avoir effectu une transmission ou en avoir reu une. Le journal d'audit est un outil prcieux pour surveiller les accs. C'est un relev de toutes les oprations effectues sur le rseau. Il permet de se prmunir contre la non-rpudiation (on sait "qui a fait quoi et mme quand"). Il favorise l'intgrit des donnes (possibilit de reprise sur erreur partie des transactions sauvegardes). 4. Un bon systme de scurit. Un bon systme de scurit doit garantir les 3 grands objectifs : D I C: Disponibilit :
/ / / /

Intgrit :
/ /

Confidentialit :
/

/ / /

Onduleur, Sauvegardes priodiques, Sauvegardes simultanes (systmes RAID), lments de rseau administrables (protocole SNMP) Outils de rinstallation rapide (cloneurs) Outils de maintenance distance. Formation des utilisateurs

/ / /

Antivirus jour Politique intelligente de mots de passe et d'authentification (historiques, obligations de tailles, ) Journal d'audit. Formation des utilisateurs

/ / /

Gestion des droits d'accs (utilisateurs, groupes, sousgroupes) Blocage Internet (Proxy, Firewall, DMZ) Chiffrement des donnes envoyes, SSH, VPN Formation des utilisateurs

La scurit des syst m es dinform ation

Solutions techni ques - Page 5

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

5. La scurit des changes. 5.1. Les protocoles. La scurit des changes est essentiellement mise en uv re pa r deu x protocoles : SSL et IPSEC. Le premier est surtout utilis par le co mmerce lectronique lo rs de l' achat sur des sites Web, le second pour scuriser des changes entre deux entreprises travers Internet. Mais il existe aussi un protoco le pour la scurit de la correspondance lect ronique : S/MIM E. 5.1 .1. Le protocole SSL (TLS). SSL (Secure Socket Layer) est un protocole dvelopp l'origine par la socit Netscape (jusqu' la version 2.0). La version 3.0, actuellement la plus rpandue, a reu les contributions de la communaut internationale. TLSP (Transport Layer Security Protocol), dvelopp par l'IETF (organisme de normalisation d'Internet), est la version 3.1 de SSL. Lorsqu ' on utilise SSL avec HTTP, on parle souvent de HTTPS (c' est--dire HTTP sur SSL). SSL est un protocole qui modifie la couche TCP du protocole TCP/IP. SSL est lui-mme compos de deux protocoles : SSL Handshake Protocol, qui ralise l' authentification initiale et la ngociation de l' algorithme de cryptage utiliser ; SSL Record Protocol, qui transmet les donnes de manire crypte. SSL est le protocole le plus utilis pour la scurit des paiements sur Internet. Ce protocole est implment par l'ensemble des navigateurs et des serveurs Web. Une alternative soutenue par Visa et Mastercard est le protocole SET (Secure Electronic Transactions), lui aussi bas sur une infrastructure TCP. Remarque : lorsque l'on se connecte un site scuris SSL, l' URL est gnralement prfix ainsi : HTTPS:// et une petite cl apparat dans la barre de tches. 5.1.2. Le protocole IPSEC. IPSEC est un protocole qui modifie le protocole IP. Il sera intgr nativement IPV6, la prochaine version d' IP, mais fonctionne dj avec la version actuelle : IPV4. Avec IPSEC, un paquet IP est authentifi, puis crypt l' aide d ' une cl prive, puis intgr dans un autre paquet non crypt. IPSEC est gnralement utilis pour crer un canal scuris (appel tunnel) entre deux firewalls. Ainsi, une entreprise peut, par exemple, crer des liens entre ses agences en utilisant le rseau Internet tout en scurisant les changes. On parle alors de rseau priv virtuel (RPV ou VPN : Virtual Private Network). Remarque : les protocoles PPTP (Point to Point Tireling Protocol) de Microsoft et L2TF (Layer 2 Transfert Format) de Cisco sont proches de la philosophie de IPSEC. 5.1.3. Le protocole S/MIME. S/MIME (Secure Multipurpose Internet Mail Extension) est un standard n en juillet 1999 la demande du dpartement de la dfense amricaine. Le corps du message est dcoup. Chaque partie est chiffre par une cl symtrique de session. On rajoute au message la cl de session qui a servi ch iffrer. Cette cl est elle-mme crypte l'aide de la cl publique du destinataire du message. Le message est enfin sign avec la cl prive de l' metteur. Remarque : il existe un second standard OpenPGP.

J. Legrand

La scurit des syst m es dinform ation

Scu rit d es chan ges - Page 6

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

5.2. Le mcanisme d'un change SSL.

Le serveur Web a obtenu un certificat de la part dune autorit de certification. Ce certificat contient la cl publique du serveur Web. Il est crypt laide de la cl prive de lautorit de certification. Cette phrase ne fait pas partie du protocole SSL. Le client Web contacte le serveur. Celui-ci lui transmet son certificat. Le client dchiffre le certificat laide de la cl publique de lautorit de certification quil connat et rcupre ainsi la cl publique du serveur Web certifie. Le client Web gnre une cl de session quil transmet qu serveur Web en la cryptant laide de la cl publique de celui-ci. Le serveur Web dcrypte la cl de session l'aide de sa cl prive. La transaction entre le client et le serveur peut commencer ; elle sera crypte l' aide de la cl de session. Ce schma de base peut tre complt par une authentification du client. Dans ce cas, celui-ci possde aussi un certificat, qu' il transmet au serveur. Aujourd'hui, la difficult est la gestion de la rvocation des certificats. En effet, dans le schma prcdent, le client ne va pas vrifier auprs de l'autorit de certification si le certificat est toujours valable. Or, ce certificat a pu tre rvoqu en raison soit de la divulgation de la cl prive, soit d'une malveillance quelconque. Une solution envisage consiste mettre en place un annuaire LDAP contenant la liste des certificats rvoqus.

J. Legrand

La scurit des syst m es dinform ation

Scu rit d es chan ges - Page 7

Gestion d'Entrepris es et Organisation d es Systm es d'In form ation

STS Inform atiqu e de Gestion, 2

me

an ne

5.3. Le mcanisme dun change IPSEC. Prenons l'exemple d 'une entreprise avec un sige central et plusieurs agences rparties sur le territoire. tablir des liaisons spcialises entre les diffrents points reviendrait assez cher et ne serait pas trs souple. La solution consiste utiliser Internet (rseau public) en crant des canaux scuriss grce des firewalls utilisant le protocole IPSEC. Ainsi, on constitue un rseau priv virtuel au sein d'un rseau public (Internet).

5.4. Le mcanisme d'un change S/MIME.

J. Legrand

La scurit des syst m es dinform ation

Scu rit d es chan ges - Page 8