Académique Documents
Professionnel Documents
Culture Documents
Plan du cours
Introduction à la sécurité des systèmes
• Introduction
d’information et des réseaux
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
École Polytechnique Internationale Privée de Tunis ◦ La gestion des risques et l’évaluation de la sécurité
2015 - 2016 ◦ Notion de politique de sécurité
• Les principaux acteurs
Mohamed Koubàa ◦ Le pirate
Département Technologies de l’Information et des Communications ◦ L’administrateur
École Nationale d’Ingénieurs de Tunis • Quelques attaques
courriel: mohamed.koubaa@enit.rnu.tn
◦ L’ingénierie sociale
◦ Les attaques réseaux
◦ Les attaques du système
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
La sécurité des systèmes d’information La sécurité des systèmes d’information
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction • Le petit robert définit la sécurité comme étant un état qui résulte de
l’absence de risque
• Les types d’incidents
• La sécurité informatique est l’ensemble des moyens mis en œuvre
• Les technologies de protection
pour minimiser la vulnérabilité d’un système contre des menaces
• La sécurité des systèmes d’information accidentelles ou intentionnelles
◦ La gestion des risques et l’évaluation de la sécurité
◦ Notion de politique de sécurité • L’objectif de la sécurité est de protéger les éléments sensibles d’un
réseau (d’une architecture) afin d’assurer sa pérennité en cas
• Les principaux acteurs
d’incidents de sécurité
◦ Le pirate
◦ L’administrateur • Sécurité versus sûreté
◦ La sûreté (safety) est l’ensemble des moyens mis en œuvre pour
• Quelques attaques
protéger un système d’informations (SI) contre les accidents dus à
◦ L’ingénierie sociale l’environnement, les défauts du système, . . .
◦ Les attaques réseaux ◦ La sécurité (security) est l’ensemble des moyens mis en œuvre pour
◦ Les attaques du système protéger un SI contre des actions malveillantes intentionnelles
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
La sécurité des systèmes d’information La sécurité des systèmes d’information
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
◦ La gestion des risques et l’évaluation de la sécurité
◦ Notion de politique de sécurité
• Les principaux acteurs
◦ Le pirate
◦ L’administrateur
• Quelques attaques
◦ L’ingénierie sociale
◦ Les attaques réseaux
◦ Les attaques du système
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
La gestion des risques et l’évaluation de la sécurité La gestion des risques et l’évaluation de la sécurité
La sécurité des systèmes d’information La sécurité des systèmes d’information
Notion de politique de sécurité Notion de politique de sécurité
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction
• Les types d’incidents
• Les technologies de protection
• Identification des éléments sensibles
• La sécurité des systèmes d’information
◦ La gestion des risques et l’évaluation de la sécurité • Déterminer les objectifs de sécurité pour ces ressources
◦ Notion de politique de sécurité • Analyse des risques qui leur sont attachés
• Les principaux acteurs • Définition des exigences de sécurité
◦ Le pirate • Sélection et implémentation des contrôles de sécurité
◦ L’administrateur
• Quelques attaques
◦ L’ingénierie sociale
◦ Les attaques réseaux
◦ Les attaques du système
Les éléments sensibles (ou ressources critiques) Les objectifs de la sécurité (1)
• Matériels (ordinateurs, équipements réseaux, . . . ) • Disponibilité garantie l’accès et l’utilisation des ressources (services,
• Données (bases de données, sauvegardes, . . . ) bande passante, données) de manière continue et non altérée
• Systèmes (exploitation des matériels) • Intégrité garantie qu’une ressource (données, applications, matériels)
• Réseaux (échange des données) n’a pas été modifiée, altérée ou détruite (transfert sécurisé)
• Logiciels (sources des programmes, services démons (DNS, FTP, • Confidentialité permet de garder privé des échanges de données
. . . ), applications web, . . . ) (contrôle d’accès, chiffrement)
• Personnes (salariés, personnel en régie, . . . ) • Identification indique qui vous prétendez être (login)
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
La gestion des risques et l’évaluation de la sécurité La gestion des risques et l’évaluation de la sécurité
La sécurité des systèmes d’information La sécurité des systèmes d’information
Notion de politique de sécurité Notion de politique de sécurité
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction
• Les types d’incidents
• Authentification valide l’identité prétendue (mot de passe) • Les technologies de protection
• Autorisation détermine les actions et ressources auxquelles un • La sécurité des systèmes d’information
utilisateur identifié est autorisé a accès ◦ La gestion des risques et l’évaluation de la sécurité
• Non-répudiation garantie qu’un message a bien été envoyé par un ◦ Notion de politique de sécurité
émetteur authentifié • Les principaux acteurs
• Traçabilité permet de retrouver les opérations réalisées sur les ◦ Le pirate
ressources (logs) ◦ L’administrateur
• Quelques attaques
◦ L’ingénierie sociale
◦ Les attaques réseaux
◦ Les attaques du système
• L’objectif d’une politique de sécurité est de protéger les éléments • Audits des éléments physiques, techniques et logiques constituants
sensibles d’une organisation afin d’assurer sa pérennité en cas du système d’informations
d’incidents de sécurité • Sensibilisation des responsables et du personnel
• Une politique consiste à rédiger des documents qui décrivent : • Formation du personnel
◦ à un niveau formel les règles de sécurité dans l’organisation (guide, • Structuration et protection des locaux et du matériel
standard, recommandation)
• Gestion du système d’informations
◦ la mise en œuvre opérationnelle et technique de la politique (procédure)
• Définition d’un cadre juridique et réglementaire
• La politique est l’expression d’un besoin tandis que la procédure est
l’implémentation du besoin • Classification des informations selon différents niveaux de
confidentialité et de criticité
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
Le pirate Le pirate
La sécurité des systèmes d’information La sécurité des systèmes d’information
L’administrateur L’administrateur
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction • On appelle pirate toute personne commettant des actes illégaux liés
à l’informatique
• Les types d’incidents
• Un pirate est un criminel informatique doté de vastes connaissances
• Les technologies de protection
capable de défier les systèmes de sécurité les plus performants
• La sécurité des systèmes d’information
• On appelle hacker toute personne apte à modifier astucieusement un
◦ La gestion des risques et l’évaluation de la sécurité
objet pour le destiner à un autre usage que celui prévu initialement
◦ Notion de politique de sécurité
• Les principaux acteurs • Le hacking est considéré comme un crime dans un grand nombre de
pays car il est effectué d’une manière volontaire et dans le but de
◦ Le pirate
◦ L’administrateur causer des dommages
• Quelques attaques • La mise en défaut d’un système de sécurité perfectionné implique
fréquemment des jours, des semaines voire des mois de travail
◦ L’ingénierie sociale
acharné
◦ Les attaques réseaux
◦ Les attaques du système ◦ White hat hacker
◦ Black hat hacker
mohamed.koubaa@enit.rnu.tn C&C - PI 19 mohamed.koubaa@enit.rnu.tn C&C - PI 20
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
Le pirate Le pirate
La sécurité des systèmes d’information La sécurité des systèmes d’information
L’administrateur L’administrateur
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
Le pirate Le pirate
La sécurité des systèmes d’information La sécurité des systèmes d’information
L’administrateur L’administrateur
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
◦ La gestion des risques et l’évaluation de la sécurité
◦ Notion de politique de sécurité
• Les principaux acteurs
◦ Le pirate
◦ L’administrateur
• Quelques attaques
◦ L’ingénierie sociale
◦ Les attaques réseaux
◦ Les attaques du système
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
Le pirate Le pirate
La sécurité des systèmes d’information La sécurité des systèmes d’information
L’administrateur L’administrateur
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
Les menaces relevant de problèmes non spécifiques Les pannes et les erreurs non intentionnelles
à l’informatique
• Pannes et dysfonctionnement du matériel
• Risque matériels accidentels • Pannes et dysfonctionnement du logiciel de base
◦ Incendie, explosion, inondation, tempête, foudre • Erreurs d’exploitation
◦ Techniques de protection assez bien maı̂trisées ◦ Oubli de sauvegarde
• Vol et sabotage de matériels ◦ Écrasement de fichiers
◦ Vol d’équipements matériels • Erreurs de manipulation des informations
◦ Destruction d’équipements ◦ Erreur de saisie
◦ Destructions de supports de sauvegarde ◦ Erreur de transmission
• Autre risques ◦ Erreur d’utilisation
◦ Tout ce qui peut entraı̂ner des pertes financières dans une société • Erreurs de conception des applications
(pertes plutôt associées à l’organisation, à la gestion des personnels)
◦ Départ de personnels stratégiques, grèves, . . . • Erreurs d’implantation
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
Le pirate Le pirate
La sécurité des systèmes d’information La sécurité des systèmes d’information
L’administrateur L’administrateur
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
La typologie des sources de menaces (2) Quelques règles de stratégie de sécurité (1)
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
Le pirate Le pirate
La sécurité des systèmes d’information La sécurité des systèmes d’information
L’administrateur L’administrateur
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
Quelques règles de stratégie de sécurité (2) Quelques règles de stratégie de sécurité (3)
• La signature numérique (données supplémentaires permettant de
vérifier l’intégrité et l’origine de l’information)
• Un responsable pour chaque périmètre • La notarisation qui consiste à passer par un tiers de confiance pour
• Définition de contrôles d’accès au sein de chaque périmètre afin de assurer certain services de sécurité
contrôler les portes dérobées • La journalisation (logs) en enregistrement les activités de chaque
• Une zone d’administration dédiée et séparée pour chacun des acteur. La journalisation permet de constater que des attaques ont
périmètres eu lieu, de les analyser et potentiellement de faire en sorte qu’elles
• Contrôle de tout vecteur de propagation de virus (e.g. document, ne se reproduisent pas
média amovible, . . . ) avant pénétration dans un périmètre • L’horodatage
• Lancement de campagnes d’information et de sensibilisation • Le contrôle du routage par la sécurisation des chemins (liens et
• Contrôle régulier de la politique de sécurité appliquée pour validation équipements d’interconnexion)
• Un pare-feu (firewall) ; il n’empêche pas un attaquant d’utiliser une
connexion autorisée pour attaquer le système. Un pare-feu ne
protège pas contre une attaque venant du réseau intérieur
mohamed.koubaa@enit.rnu.tn C&C - PI 35 mohamed.koubaa@enit.rnu.tn C&C - PI 36
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection L’ingénierie sociale Les technologies de protection L’ingénierie sociale
La sécurité des systèmes d’information Les attaques réseaux La sécurité des systèmes d’information Les attaques réseaux
Les principaux acteurs Les attaques du système Les principaux acteurs Les attaques du système
Quelques attaques Quelques attaques
Plan du module Plan du module
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection L’ingénierie sociale Les technologies de protection L’ingénierie sociale
La sécurité des systèmes d’information Les attaques réseaux La sécurité des systèmes d’information Les attaques réseaux
Les principaux acteurs Les attaques du système Les principaux acteurs Les attaques du système
Quelques attaques Quelques attaques
Plan du module Plan du module
• Introduction
• Whois ? Centre d’information sur Internet (NIC - Network
• Les types d’incidents
Information Center), informant sur une adresse IP et/ou un nom de
• Les technologies de protection domaine
• La sécurité des systèmes d’information • En France, l’AFNIC - Association Française pour le Nommage
◦ La gestion des risques et l’évaluation de la sécurité Internet en Coopération se charge de la gestion administrative et
◦ Notion de politique de sécurité technique des noms de domaine en .fr (France) et .re (Île de la
• Les principaux acteurs Réunion)
◦ Le pirate • Les variantes possibles :
◦ L’administrateur
◦ Site web de l’entreprise
• Quelques attaques ◦ nslookup
◦ L’ingénierie sociale ◦ ping
◦ Les attaques réseaux ◦ traceroute
◦ Les attaques du système
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection L’ingénierie sociale Les technologies de protection L’ingénierie sociale
La sécurité des systèmes d’information Les attaques réseaux La sécurité des systèmes d’information Les attaques réseaux
Les principaux acteurs Les attaques du système Les principaux acteurs Les attaques du système
Quelques attaques Quelques attaques
Plan du module Plan du module
Introduction Introduction
Les types d’incidents Les types d’incidents
Les technologies de protection Les technologies de protection
La sécurité des systèmes d’information La sécurité des systèmes d’information
Les principaux acteurs Les principaux acteurs
Quelques attaques Quelques attaques
Plan du module Plan du module
mohamed.koubaa@enit.rnu.tn C&C - PI 49