Académique Documents
Professionnel Documents
Culture Documents
Ch1 - Introduction To E-Service
Ch1 - Introduction To E-Service
com
Chapitre 1
Mince Rekhis
slim.rekhis@supcom.tn
◼ Par exemple, les services bancaires en ligne, le commerce électronique, les services
gouvernementaux en ligne, l'informatique en nuage, les soins de santé, l'éducation.
◼ Les services électroniques font désormais partie intégrante de notre vie quotidienne
et ont révolutionné la façon dont nous interagissons les uns avec les autres,
3
Exemples de e-services
◼ Banque en ligne : permet aux clients de gérer leurs comptes bancaires, de consulter les soldes de compte, de virer des
fonds et de payer des factures en ligne.
◼ Commerce électronique : plates-formes d'achat en ligne qui permettent aux consommateurs d'acheter des biens et des
services
◼ Services gouvernementaux en ligne : sites Web qui permettent d'accéder aux services gouvernementaux tels que les
demandes de passeport et de visa, les déclarations de revenus et d'autres services administratifs.
◼ Cloud Computing : Services qui permettent aux entreprises et aux particuliers de stocker, gérer et
traiter des données sur Internet.
◼ eServices de soins de santé : plates-formes en ligne qui donnent accès à des services de soins de santé tels que
la télémédecine, la prise de rendez-vous en ligne et la gestion des dossiers de santé.
◼ Education eServices : plates-formes d'apprentissage en ligne qui proposent des cours, du tutorat et
d'autres ressources pédagogiques.
◼ Médias sociaux : plates-formes en ligne qui permettent aux individus de se connecter et de partager des informations, des
◼ Avec la popularité croissante et l'utilisation généralisée des services électroniques, la sécurité est devenue
◼ Les services électroniques contiennent des informations sensibles telles que des données personnelles, des
informations financières et des dossiers commerciaux confidentiels, ce qui les rend vulnérables aux
cyberattaques.
◼ Une faille de sécurité dans les services électroniques peut entraîner une perte de données, des pertes financières, une
◼ Assurer la sécurité des services électroniques est essentiel pour la protection des particuliers, des
dans les organisations des secteurs public et privé ont été observées.
5
Types d'architectures de services électroniques
◼ Architecture orientée services (SOA) : Ensemble de services faiblement couplés qui peuvent être
6
Architectures de services électroniques (2)
composants indépendants plus petits, chacun pouvant être développé, déployé et géré
indépendamment. Cette architecture est couramment utilisée pour les services électroniques
basés sur le cloud et peut améliorer l'évolutivité et la fiabilité.
◼ Architecture cloud : ce type d'architecture implique l'utilisation d'une infrastructure basée sur le cloud
pour fournir des services électroniques. Cette architecture permet aux organisations de tirer parti de
l'évolutivité, de la fiabilité et de la rentabilité du cloud computing pour fournir des services électroniques à
une large base d'utilisateurs.
◼ Architecture mobile : ce type d'architecture implique l'utilisation d'appareils et de réseaux mobiles pour
fournir des services électroniques. Cette architecture est couramment utilisée pour les services basés sur la
localisation, les services bancaires mobiles et les applications de commerce mobile.
7
Exemples d'attaques de sécurité sur les e-services
◼ Exploitation de bugs logiciels pour corrompre des données ou faire fuir un service de
données sensibles
◼ Déni de service aux actifs critiques (par exemple, arrêt des systèmes EHR (dossier de santé
9
Attaque Stuxnet contre la centrale nucléaire iranienne
◼ Un ver planté dans les installations nucléaires iraniennes à l'aide d'une clé USB
◼ Utilisé pour cibler spécifiquement les centrifugeuses de l'installation iranienne d'enrichissement d'uranium
◼ Première cyberarme utilisée dans le monde en raison de sa capacité à provoquer une destruction physique, et le premier logiciel malveillant
connu conçu pour infecter les systèmes de contrôle industriels (ICS).
◼ Un rootkit qui cache tous les fichiers et processus malveillants pour échapper à la détection
◼ Le ver se propage sur le réseau à la recherche du logiciel Siemens Step7 sur les ordinateurs (utilisé pour contrôler les
contrôleurs logiques de programmation, PLC)
◼ Une fois la machine ciblée trouvée, le logiciel malveillant injecte le rootkit dans l'automate et le logiciel Step7, modifie le
code et envoie des commandes à l'automate tout en affichant les informations normales du système d'exploitation à
l'utilisateur final.
◼ Il manipulait les vannes des centrifugeuses, augmentant et diminuant leur vitesse, exerçant une pression supplémentaire
sur elles et finissant par endommager les machines jusqu'à ce qu'elles se cassent. dix
Attaque de Blak Energy sur le réseau électrique ukrainien
11
Attaque de Blak Energy sur le réseau électrique ukrainien : étapes
Opérateur de réseau
Attaquant Réseau informatique
Vol d'identifiants
UPS
Mettre à jour le micrologiciel S-To-E
Disjoncteurs
Convertisseur S à E
◼ On estime que l'attaque a touché plus de 200 000 ordinateurs dans 150 pays
◼ Propagé via EternalBlue, un exploit pour SMB (Server Message Block) dans les anciens
systèmes Windows publié quelques mois avant l'attaque.
◼ Alors que Microsoft avait déjà publié des correctifs pour fermer l'exploit, une grande partie de la propagation
de WannaCry provenait d'organisations qui ne les avaient pas appliqués ou utilisaient des systèmes Windows
plus anciens qui avaient dépassé leur fin de vie.
◼ WannaCry a également profité de l'installation de portes dérobées sur les systèmes infectés.
13
Impact d'une faille de sécurité
◼ Réputation ruinée
◼ Vandalisme
◼ Vol d'informations
◼ Perte de revenus
14
Types d'attaquants
◼ Amateurs
◼ Script kiddies avec peu ou pas de compétence
◼ Les pirates - s'introduisent dans des ordinateurs ou des réseaux pour y accéder
◼ Chapeaux blancs : pénétrer dans le système avec l'autorisation de découvrir les faiblesses
afin d'améliorer la sécurité de ces systèmes
◼ Chapeaux gris : systèmes de compromis sans autorisation. Ils peuvent signaler des vulnérabilités aux
propriétaires du système si cette action coïncide avec leur programme.
◼ Chapeaux noirs : profitez des vulnérabilités pour un gain personnel, financier ou politique illégal
◼ L'importance des mesures de sécurité n'est pas reconnue tant qu'une entreprise n'a pas été
◼ Politiques de réseau grand ouvert (de nombreux sites permettent un accès Internet grand ouvert)
16
Quelques définitions
◼ Alerte:Un message envoyé par les outils de détection d'attaque (par exemple, IDS) lorsqu'ils
◼ Vulnérabilité: une faiblesse qui peut être exploitée pour causer des pertes ou des dommages
système ou une organisation fournit des services de sécurité pour protéger les ressources
système sensibles et critiques
18
Quelques définitions (2)
◼ Contre-mesure
◼ Une action, un dispositif, une procédure ou une technique qui réduit une attaque, une menace ou une
◼ Données contenues dans un système d'information ; ou un service fourni par un système ; ou une
19
Contre-mesures
Moyens
utilisé pour traiter
Résiduel
vulnérabilités
peut rester
Le but est de
Peut lui-même
minimiser
introduire
niveau résiduel
nouveau
de risque pour le
vulnérabilités
actifs
20
Relation entre les concepts de sécurité
21
Actifs
◼ Matériel
◼ Systèmes informatiques, dispositifs de stockage de données et de communication de données, …
◼ Logiciel
◼ Systèmes d'exploitation, services, applications, utilitaires système, …
◼ Données
◼ Fichiers et bases de données, configurations de sécurité (par exemple, fichiers de mots de passe), journaux
◼ Systèmes d'exploitation
◼ Vulnérabilités du protocole
◼ Violations de la confidentialité
23
Surfaces d'attaque
◼ Exemples:
◼ Ports ouverts
24
Catégories de surface d'attaque
◼ Fait référence aux vulnérabilités dans le code de l'application, de l'utilitaire ou du système d'exploitation
25
Vecteur d'attaque
◼ Est un chemin/une méthode qu'un attaquant utilise pour accéder à un serveur, un hôte ou un réseau
◼ Les vecteurs d'attaque courants incluent les logiciels malveillants, les virus, les pièces jointes aux e-mails, les pages
Web, les fenêtres contextuelles, les messages instantanés, les SMS et l'ingénierie sociale.
◼ Les menaces internes peuvent causer des dommages plus importants que les menaces externes car les
26
Exemple de menaces sur les actifs
27
Attaques actives contre passives
◼ Attaques passives :Une tentative d'apprendre ou d'utiliser des informations du
système qui n'affectent pas les ressources système
◼ Publication du contenu du message: un message (par exemple, un e-mail) peut contenir des données sensibles
◼ Analyse du trafic: un intrus peut déduire des données sensibles (même si les messages sont cryptés) en observant les
modèles de message (par exemple, la taille, la fréquence, le temps d'échange)
◼ Reconnaissance passive :Obtenez des informations importantes sur la cible en parcourant le contenu du site Web, les
médias sociaux, les serveurs DNS (collecte ID, numéro de téléphone, adresse personnelle, informations de contact, …)
◼ Attaques actives :Une tentative de modifier les ressources système ou d'affecter leur fonctionnement
◼ Modification des messages:une entité modifie une partie d'un message légitime pour produire
un effet indésirable
◼ Contrôle d'accès
◼ Sensibilisation et formation
◼ Audit et responsabilité
◼ Certification, accréditation et évaluations de sécurité
◼ Gestion de la configuration
◼ La planification d'urgence
◼ Identification et authentification
29
Exigences de sécurité fonctionnelle (2)
◼ Entretien
◼ Protection des médias
◼ Sécurité du personnel
30
Principes fondamentaux de conception de la sécurité
◼ Economie de mécanisme
◼ Médiation complète
◼ Conception ouverte
◼ Séparation de privilège
◼ Le moindre privilège
◼ Acceptabilité psychologique
◼ Isolement
◼ Modularité
◼ Superposition
31
10 étapes vers la sécurité des services électroniques
Source: 32
Stratégie de sécurité informatique
◼ Politique de sécurité
◼ Certification/Évaluation
33