Sécurité

Notions de base
Que doit-on sécuriser ?
Le réseau :
Données
Architecture et équipements
Protocoles

9 Sécurité Informatique 2021-2022

Pourquoi ?
La maîtrise du cycle de vie des patrimoines numériques
(transport, traitement, stockage) : question de souveraineté -
> technique maîtresse du cryptage
La valorisation des contenus : enjeu économique ->
tatouage, …
La confiance dans l’univers (république) numérique :
enjeu social -> authentification, certificats, tiers de
confiance, …
La sécurisation des info-sphères :
Niveau individuel : préservation de l’intimité (filature électronique)
Niveau organisation : prévention des attaques, architectures de
sécurité
Niveau état : invulnérabilité des infrastructures critiques, prévention
des catastrophes

10 Sécurité Informatique 2021-2022

Contre quoi ?
Déficiences des équipements
Erreurs humaines
Attaques malicieuses

11 Sécurité Informatique 2021-2022

Statistiques sur la sécurité
20000 attaques réussies par mois sur un ou plusieurs
sites dans le monde
70000 virus en 2004 (augmentation d’environ 1000 par
mois, 10000 actifs, exemple d’un pic infection : 10% du
trafic mail)
20 milliards de messages SPAM par jour
Cybercriminalité évaluée à 50 milliards d’euros par an

Source : CLUSIF, 2004

12 Sécurité Informatique 2021-2022

Services de sécurité
Confidentialité : seuls les tiers autorisés connaissent les
données
Intégrité : données non altérées
Disponibilité : accès aux données dans de bonnes
conditions
Authentification : identité des acteurs de la
communication est vérifiée
Non répudiation : les acteurs d'une communication ne
peuvent nier leur participation

13 Sécurité Informatique 2021-2022

Mécanismes de défense
Chiffrement : algorithme généralement basé sur des clefs et
transformant les données. Sa sécurité est dépendante du
niveau de sécurité des clefs.
Signature numérique: données ajoutées pour vérifier
l'intégrité ou l'origine des données.
Bourrage de trafic : données ajoutées pour assurer la
confidentialité, notamment au niveau du volume du trafic.
Notarisation : utilisation d’un tiers de confiance pour assurer
certains services de sécurité.
Contrôle d’accès : vérifie les droits d’accès d'un acteur aux
données. N'empêche pas l'exploitation d'une vulnérabilité.

14 Sécurité Informatique 2021-2022

Mécanismes avancés
Antivirus : logiciel censé protéger ordinateur contre les
logiciels (ou fichiers potentiellement exécutables) néfastes.
Ne protège pas contre un intrus qui emploie un logiciel
légitime, ou contre un utilisateur légitime qui accède à une
ressource qui lui est interdite.

Pare-feu : un élément (logiciel ou matériel) du réseau

informatique contrôlant les communications qui le
traversent. Il a pour fonction de faire respecter la politique
de sécurité du réseau, celle-ci définissant quels sont les
communications autorisés ou interdits. N'empêche pas un
attaquant d'utiliser une connexion autorisée pour attaquer le
système. Ne protège pas contre une attaque venant du
réseau intérieur (qui ne le traverse pas).

15 Sécurité Informatique 2021-2022

Autres mécanismes avancés
Détection d'intrusion : repère les activités anormales ou
suspectes sur le réseau surveillé. Ne détecte pas les accès
incorrects mais autorisés par un utilisateur légitime.
Mauvaise détection : taux de faux positifs, faux négatifs.

Journalisation ("logs") : Enregistrement des activités de

chaque acteurs. Permet de constater que des attaques ont eu
lieu, de les analyser et potentiellement de faire en sorte
qu'elles ne se reproduisent pas.

Analyse des vulnérabilité ("security audit") : identification

des points de vulnérabilité du système. Ne détecte pas les
attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu.

16 Sécurité Informatique 2021-2022

Politique de sécurité
Une politique de sécurité ce n'est pas seulement les
paramètres de sécurité :
longueur des clefs,
choix des algorithmes,
fréquence de changement des "passwords",
…
Une fois une politique de sécurité définie, sa mise en
œuvre (utilisation d'outils appropriés) et sa bonne
gestion (maintien de la cohérence) sont des points
critiques.

17 Sécurité Informatique 2021-2022

Processus de sécurité

Implémentation Évaluation /
et formation audit

Politique de
sécurité

18 Sécurité Informatique 2021-2022

Remarque
Importance du facteur humain :
Respect des règles de sécurité
Compréhension de l'utilité des règles,
Surcharge induit par les moyens de sécurité

 L'ingénierie sociale

19 Sécurité Informatique 2021-2022

Normes ISO pour la sécurité des systèmes
d’information
ISO 13335 : Concepts et modèles pour la gestion de la
sécurité des TIC (1996),
ISO 15408 : Critères communs pour l'évaluation de la
sécurité des Technologies de l'Information,
ISO/CEI 17799 : Code de bonnes pratiques pour la
gestion de la sécurité d'information (ancienne référence
de la norme ISO/CEI 27002).

20 Sécurité Informatique 2021-2022

ISO 27000
Série de normes dédiées à la sécurité de l'information
ISO/CEI 27001 : Description des exigences pour la mise en place d'un Système de Management de
la Sécurité de l'Information (SMSI)
ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l'information
(anciennement ISO/CEI 17799)
ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) — Guide
d'implémentation
ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information
ISO/CEI 27005 : Proposition d'une méthode d'appréciation des risques en sécurité de l'information
(cette phase est obligatoire dans le cadre d'une certification ISO/CEI 27001)
ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de Systèmes de
Management de la Sécurité de l'Information (SMSI)
ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information
(SMSI).
ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative à la santé
en utilisant l'ISO/CEI 27002
Le standard Information Technology Security Evaluation Criteria (ITSEC) a été établi
dans ce domaine en 1991 au niveau de l‘union européenne, mais il n'a pas obtenu
le statut de norme.

21 Sécurité Informatique 2021-2022

Objectifs
Que protéger ?

• Liste des biens à protéger

De quoi les protéger ?

• Liste des menaces

Quels sont les risques ?

• Liste des impacts et probabilités

Comment protéger l’entreprise ?

• Liste des contre mesures

Démarche de la norme ISO 17799
22 Sécurité Informatique 2021-2022
Sécurité en Tunisie
ANSI (https://www.ansi.tn/)
Mission de veille
Etablir des normes spécifiques
Mission d’audit

ANCE (https://www.tuntrust.tn/)
Autorité de certification racine en Tunisie
Plusieurs offres de
certificats d'authentification
signature électronique
horodatage
23 Sécurité Informatique 2021-2022
Principe du dernier privilège
Discipline de sécurité qui consiste à attribuer à un
utilisateur pas plus de privilèges qu’il n’en a besoin pour
réalise son travail
Principe facile à planifier
Difficile à mettre en place

24 Sécurité Informatique 2021-2022

Surface d’attaque
Ensemble de méthodes et de moyens qu’un attaquant
peut mettre en œuvre pour s’introduire au niveau du
système et causer des dommages
Plus la surface d’attaque est grande, plus les risques de
réussite des attaques est élevé
3 composants :
Applications
Réseaux
Employés

25 Sécurité Informatique 2021-2022

Ingénierie sociale
Importance du facteur humain:
Être suspicieux
Vérification de l’identité
Être discret
Minimiser l’utilisation des e-mails
Importance de la formation

26 Sécurité Informatique 2021-2022

Infogérance/Télémaintenance
Le système d'information est n’est pas un système fermé
:
Interactions avec des intervenants externes
Infogérances
Télémaintenances
Relation contractuelle entre prestataire et client
Exemples en télémaintenance :
Routeurs chez des opérateurs de télécommunication
PABX
Imprimantes, télécopieurs, photocopieurs
SAN : réseau de stockage de données
Logiciels de gestion d'entreprise
27 Sécurité Informatique 2021-2022
Gestion des interactions
Appliquer sa politique de sécurité
Intégrer la sécurité dès le départ dans tout processus
d'infogérance et de télémaintenance
Contractuellement, systématiquement, ne serait-ce que pour
savoir qu'il y a de la télémaintenance
Minimiser les télémaintenance
Créer un portail de contrôle d'accès
Indépendamment des moyens de connexion
Authentifier individuellement chaque intervenant
Journaliser les connexions
Recopier si possible la session complète des informations
qui remontent à l'extérieur

28 Sécurité Informatique 2021-2022

Principe des périmètres
Concept de périmètre :
Espace de responsabilité : système d'information de l'entreprise
Espace de non responsabilité : environnement extérieur
Appliquer la politique de sécurité entre les deux afin de
protéger l'espace de responsabilité : périmètre
Il semble difficile de se passer de la notion de sécurité
périmétrique même si le périmètre logique est poreux :
Connaître le périmètre
Quelques limites du périmètre :
Le réseau et les canaux de communication
Les utilisateurs
L'entreprise étendue : toutes les applications dialoguant avec
l'extérieur

29 Sécurité Informatique 2021-2022

Sécurité du local
Contrôle d’accès
Défonce en profondeur

30 Sécurité Informatique 2021-2022

Périmètre externe
Première line de défonce
Dépend de l’importance du niveau de sécurité
Plusieurs outils et techniques :
Caméra de sécurité
Eclairage du parking
Barrière basculante avec gardien
Barrière basculante avec lecteur de carte d’accès
…

31 Sécurité Informatique 2021-2022

Périmètre interne
Le périmètre de sécurité interne inclus toutes les partie
entre les murs et les portes externes des locaux jusqu’à
l’espace sécurisé
Plusieurs outils et techniques :
Verrous
Clés
Caméras de sécurité
Lecteurs de badges
Bureaux des grades
Détecteurs de fumet
Tourniquets
32 Sécurité Informatique 2021-2022
Espace sécurisé
Espaces sensibles :
Locaux techniques
Département de développement
Centre de données
Outils :
Lecteurs de badges
Codes d’accès
Technologies à base de biométrie
Scanners à rayon-X
Détecteurs de métaux
Caméras
Systèmes de détection d’intrusion (physique)

33 Sécurité Informatique 2021-2022

Définitions
Identification : …

Authentification : …

Autorisation : …

Traçage des comptes : …

« AAA » : …

34 Sécurité Informatique 2021-2022

Techniques d’authentification
Ce que l’utilisateur sait : …

Ce que l’utilisateur possède : …

Ce que l’utilisateur est : …

35 Sécurité Informatique 2021-2022

Recommandations

Utilisation de plusieurs techniques d’authentification

selon les besoins de l’application

39 Sécurité Informatique 2021-2022

Gestion des autorisations

La gestion des autorisations accordés aux utilisateurs sur

les ressources est souvent gérée par l’organisateurs des
ressources qui n’est autre que le système d’exploitation

Droits d’accès Windows

…

Droits d’accès Linux

…

40 Sécurité Informatique 2021-2022

Utilisation de la cryptographie asymétrique pour
l’authentification
Définition de la cryptographie asymétrique :
Viens de la limitation des algorithmes à clé secrète :
Problématique de l'échange de la clé de chiffrement
■ établissement préalable d'un canal sûr pour la transmission de la clef
Nouveaux procédés : algorithmes basés sur des problèmes difficiles à
résoudre
Logarithme discret
■ le calcul des logarithmes discrets s'avère difficile, tandis que le problème
inverse de l'exponentiation discrète ne l'est pas

Factorisation de grands nombres

■ Multiplier deux grands nombres premiers est une fonction à sens unique;
il est facile de multiplier deux nombres pour obtenir un produit, mais
difficile de factoriser ce produit et de retrouver les deux grands nombres
premiers (ex: 437 = ? * ?)

41 Sécurité Informatique 2021-2022