SÉCURITÉ RÉSEAUX

Pr. Zebbara Khalid

Pr. Ouahi Hassan
Dép. Génie informatique et systèmes intelligents
k.zebbara@uiz.ac.ma
h.ouahi@uiz.ac.ma
Chapitre 1: Généralités et concepts de base
de la sécurité informatique

Chapitre 1 2
Révolution digital
L’industrie du monde moderne

GAFAM (Google, Apple, Facebook,

Amazon, Microsoft)
BATX (Baidu, Alibaba, Tencent,
Xiaomi)
NATU (Netflix, AirBnB, Tesla et
Uber)

Chapitre 1 3
Révolution digital

Internet applications and services (Web, emails, ...)

Chapitre 1 4
Révolution digital
Appareils mobiles, Smart Houses, Smart Cities,
Artificiel Intelligence (AI)

Chapitre 1 5
Révolution digital
Services du Cloud, IoT & 5G

5G 100 fois plus rapides que la 4G initiale

Chapitre 1 6
Révolution digital
Industrie 4.0

Chapitre 1 7
Cybersécurité: Un grand enjeu
Le rapport sur les risques mondiaux publié en 2018 par le Forum
économique mondial de Davos situe les cyberattaques et le vol de
données respectivement aux troisième et quatrième rangs des
risques les plus susceptibles de se produire au cours des 10
prochaines années.

Chapitre 1 8
Cybersécurité: Un grand enjeu

Chapitre 1 9
Cybersécurité: Un grand enjeu

Chapitre 1 10
Cybersécurité: Un grand enjeu

Chapitre 1 11
Cybersécurité: Un grand enjeu international

2019, année record en termes de violation de données

Année Entreprise Violation de données

2019 Agence de revenu Des millions de données
bulgare financières bulgares
2019 DoorDash Informations personnels de 5
millions de clients
2019 Facebook 50 millions des utilisateurs

Chapitre 1 12
Cybersécurité: Un grand enjeu international

Dans son rapport de sécurité version 2019« Internet Security

Threats Reports (ISTR) », Symantec a indiqué que:
o Un URL sur 10 URLs est un malveillant
o Augmentation des attaques web par 56%
o Les attaquants sont en mouvement rapide, les
mécanismes de défenses ne sont pas.

Chapitre 1 13
Cybersécurité: Un grand enjeu national

Chapitre 1 14
Cybersécurité: Un grand enjeu national
Selon l’étude mondiale PwC Global State of Information Security® Survey
2018:
o près de 30% des cyberattaques sont d’origine interne à l’entreprise
:(Attaques internes: employés, stagiaires, …).
o 70 % des entreprises marocaines déclarent que leur stratégie de
cybersécurité n’est pas implémentée à une vitesse suffisante.
13,4 millions de cyber-attaques ont été détectées entre avril et juin 2020
au Maroc (Période de confinement dû à la pandémie Covid-19): Rapport de
Kaspersky, paru en juillet 2020:

Chapitre 1 15
Personne n'est à l'abri!
Piratage des serveurs Adobe ( fin 2013)

Nombre Mot de passe en

Mot de passe chiffré
d’utilisateur clair
1. 1 911938 EQ7fIpT7i/Q= 123456

2. 446 162 j9p+HwtWWT86aMjgZFLzYg== 123456789

3. 345 834 L8qbAD3jl3jioxG6CatHBw== password

4. 211 659 BB4e6X+b2xLioxG6CatHBw== adobe123

Chapitre 1 16
Personne n'est à l'abri!

Chapitre 1 17
Personne n'est à l'abri!

Chapitre 1 18
Personne n'est à l'abri!

Chapitre 1 19
Comment vérifie si vos données ont été piratées?

Créé à la suite du piratage d’Adobe en 2013, le site web permet de vérifier si

votre email est concerné par l’une des cyberattaques recensées par le site et
ayant pu engendrer la violation de vos données personnelles.

https://haveibeenpwned.com/

Chapitre 1 20
Comment vérifie si vos données ont été piratées?

Chapitre 1 21
II. Pourquoi étudier la
sécurité informatique?

Chapitre 1 22
 Pourquoi étudier la sécurité informatique?
Les métiers en relation avec la cybersécurité sont
de plus en plus demandés

Source: World Economic Forum. (2020). The Future of Jobs Report 2020. World
Economic Forum, Geneva, Switzerland.
Chapitre 1 23
 Pourquoi étudier la sécurité informatique?
Bug Bounty /Crowdsourced Security
Un domaine capable de vous rendre financièrement indépendant:
o https://hackerone.com/bug-bounty-programs: La liste la plus exhaustive
des programmes Bug Bounty connus sur Internet.
o Les exploits mobiles sont très précieux. Par exemple, les paiements
ZERODIUM pour les exploits zero-day éligibles vont de 2 500 USD à 2
500 000 USD par soumission. ZERODIUM peut payer des récompenses
encore plus élevées pour des exploits et des recherches exceptionnels.
https://zerodium.com/program.html

Chapitre 1 24
 Définitions et
objectifs de la sécurité
informatique

Chapitre 1 25
Sécurité Informatique?
Question: Qu’est ce que la sécurité informatique?

Définition 1: La sécurité informatique, appelée aussi cyber-

sécurité/cyber-défense, ou aussi sécurité des systèmes
d’information SI (IT security /Computer Security , or Cyber-
Security) englobe l’ensemble des procédures (1)
organisationnels, (2) juridiques et (3) techniques utilisés pour
protéger les systèmes informatiques.

Chapitre 1 26
Sécurité Informatique?
Axe 1:
organisationnel (governance et gestion/management)

Cybersécurité

Axe 3: Axe 2:
technique (technologies , outils et juridique et réglementaire
protocoles)

Chapitre 1 27
Sécurité Informatique?
Les responsable de sécurité SI doivent:
o consacrer un tiers de leur temps à aborder les aspects
techniques (1/3);
o le temps restant doit être consacré notamment : au
développement de politiques et de processus, à faire le
point sur la sécurité, à analyser les risques associés, à
élaborer des plans d’urgence, à la sensibilisation aux
problèmes liés à la sécurité.

Chapitre 1 28
Sécurité Informatique?

Ce cours focalise sur l’axe technique de la sécurité

informatique.

Chapitre 1 29
Sécurité Informatique?
Définition 2: La sécurité informatique est la protection offerte à un
système d'information automatisé afin d'atteindre les objectifs
applicables de préservation de l'intégrité, de la disponibilité et de la
confidentialité des ressources du système d'information (comprend le
matériel , logiciels, micrologiciels, informations / données et
télécommunications) (The NIST Handbook. Special Publication 800-12)
Dans les deux définition l’accent est porté principalement sur la

protection, (mieux vaut prévenir que guérir) mais il ne faut pas

négliger les mesures de détection et de réaction.

Chapitre 1 30
Objectifs/Services de la sécurité Informatique
Question: Quels sont les objectifs ou services de la sécurité
informatique ?
La norme NIST FIPS 199 (Standards for Security Categorization of Federal
Information and Information Systems) répertorie (1) la confidentialité, (2)
l'intégrité et la disponibilité comme les trois objectifs de sécurité pour
l'information et pour les systèmes d'information.
Ces trois objectifs ou bien services forment ce que l'on appelle souvent la
triade de la CIA (CIA triad).
Toute stratégie, procédure ou bien politique de sécurité informatique doit
répondre à trois questions de base:
1. Comment garantir la confidentialité?
2. Comment garantir l’intégrité?
3. Comment garantir la disponibilité?
Chapitre 1 31
Objectifs/Services de la sécurité Informatique

Bien que l'utilisation de la triade CIA pour définir les objectifs de

sécurité soit bien établie, certains dans le domaine de la sécurité
estiment que des concepts supplémentaires sont nécessaires pour
présenter une image complète.
Deux des plus couramment mentionnés sont les suivants:
o Authenticité
o Traçabilité

Chapitre 1 32
Objectifs/Services de la sécurité Informatique

Confidentialité: préserver les restrictions autorisées sur l'accès

et la divulgation des informations, y compris les moyens de
protéger la vie privée et les informations exclusives.
Intégrité: se prémunir contre la modification ou la
destruction incorrecte des informations, notamment en
garantissant la non-répudiation et l'authenticité des
informations.

Chapitre 1 33
Objectifs/Services de la sécurité Informatique

Disponibilité: garantir un accès et une utilisation rapides et

fiables des informations.
Authenticité: La propriété d'être authentique et de pouvoir être
vérifiée et digne de confiance; confiance dans la validité d'une
transmission, d'un message ou de l'expéditeur du message. Cela
signifie vérifier que les utilisateurs sont bien ceux qu'ils
prétendent être et que chaque entrée arrivant dans le système
provient d'une source fiable.

Chapitre 1 34
Objectifs/Services de la sécurité Informatique

Traçabilité: l'objectif de sécurité qui génère l'exigence de tracer uniquement

les actions d'une entité vers cette entité. Parce que les systèmes vraiment
sécurisés ne sont pas encore un objectif réalisable, nous devons être en
mesure de retracer une faille de sécurité à une partie responsable.
o Cela prend en charge la non répudiation, la dissuasion, l'isolation des
pannes, la détection et la prévention des intrusions, ainsi que la
récupération après action et les poursuites judiciaires.
o Les systèmes doivent conserver des enregistrements de leurs activités
(log files) pour permettre une analyse forensique (forensic analysis)
ultérieure pour détecter les failles de sécurité ou pour aider dans les
litiges de transaction.

Chapitre 1 35
IV. Comment assurer
la sécurité
informatique ?

Chapitre 1 36
Niveaux de sécurité
Les Besoins en termes de sécurité se situent à plusieurs niveaux (cela dit, les
frontières entres ces différents niveaux sont loin d’être bien nettes) :
o Sécurité des locaux, des infrastructures et des équipements (Sécurité
physique);
o Sécurité des réseaux (filaires, sans-fils et mobiles);
o Sécurité des systèmes d'exploitation
o Sécurité des applications/logiciels;
o Sécurité des données (exemples: BD, Datawarehouses, BigData et
Cloud…).
Il faut donc utiliser des mesures et des mécanismes de sécurité distincts
pour assurer la sécurité à chaque niveau, en vue de sécuriser globalement
tout le SI.
Chapitre 1 37
Niveaux de sécurité

SMSI: Système de Management de la Sécurité de l'Information (en

anglais : Information security management system, ou ISMS)
Chapitre 1 38
V. Défis de la
sécurité
informatique

Chapitre 1 39
 Cybersecurity is a Weakest Link Problem
Problème de base: Malgré des années de recherche et de développement,
il n'a pas été possible de développer des techniques de conception et de
mise en œuvre de la sécurité qui excluent systématiquement les failles de
sécurité et empêchent toutes les actions non autorisées.
o La sécurité est une chaine qui dépend toujours du maillon le plus
faible.

A bien noter: la sécurité d’un système est complètement liée à

son maillon le plus faible. Pour cela, la mission d’un attaquant
est d’identifier et exploiter un ou plusieurs maillons faibles.
Cybersecurity is a Weakest Link Problem

Il suffit d'une seule erreur pour qu'un système soit piraté

Chapitre 1 41
Cybersecurity is a Weakest Link Problem
Question: Quel est le maillon le plus faible dans la sécurité
informatique?
o Les utilisateurs: Dans leur travail fondateur «L'utilisateur n'est
pas l'ennemi (User are not the enemy)», les chercheurs Adams &
Sasse, ont indiqué que «les utilisateurs peuvent en effet
compromettre la sécurité informatique… un tel comportement est
souvent causé par la manière dont les mécanismes de sécurité sont
mis en œuvre, et le manque de connaissances« .
o Complexité des solutions de sécurité: Le grand expert du
domaine Bruce Schneier pense que la complexité est le pire
ennemi de la sécurité.

Chapitre 1 42
Cybersecurity is a Weakest Link Problem

o Les développeurs des applications:

 Wurster, G., & Van Oorschot, P. C. (2008, September). The developer
is the enemy. In Proceedings of the 2008 New Security Paradigms
Workshop (pp. 89-97).

o Les vulnérabilités 0-day

o…

Chapitre 1 43
 Autres défis
On peut aussi considérer deux autres principaux défis :
1. la cyber-sécurité est un processus difficile et complexe qui
augmente avec la complexité des systèmes.
2. Avec l'énorme disponibilité des outils de sécurité gratuits et
open source, attaquer un système informatique est devenu
beaucoup plus facile

Kali Linux intègre plus de 600 outils de

test de sécurité pré-installés.

Chapitre 1 44
Sophistication des attaques Vs Prérequis techniques

Chapitre 1 45
Attack tool sophistication versus necessary attack knowledge
Chapitre 1 46
While the sophistication of cyberattacks continues to rise, the
level of technical understanding necessary to carry out an attack
does not.
The primary reason behind this situation is the great
development of attack automation and opensource and
commercial hacking tools.

Chapitre 1 47