Concepts et spécifications de la

sécurité des réseaux

 Avant-propos
⚫ Avec la popularisation d'Internet, de nombreuses entreprises, organisations, ministères et institutions construisent et
développent leurs propres réseaux d'information. Ces systèmes d'information sont devenus l'infrastructure critique des
pays et des gouvernements. Dans ce contexte, la société toute entière est de plus en plus dépendante des réseaux. Les
réseaux sont devenus un moteur puissant du développement social et économique et jouent un rôle de plus en plus
important. Par conséquent, la manière d'assurer la sécurité du réseau et de l'information est également importante.
Lors de la communication de données, divers facteurs non sécurisés peuvent entraîner une violation d'informations, un
caractère incomplet ou une indisponibilité, entraînant un impact négatif important. Ce cours décrit les concepts de
base et l'historique du développement de la sécurité de l'information, ainsi que la tendance de développement future
de l'industrie et des technologies de la sécurité, jetant les bases des cours ultérieurs liés à la sécurité.
⚫ Les normes de sécurité réseau fournissent des conseils et une supervision pour les systèmes de gestion de la sécurité
réseau établis dans diverses industries. Ce cours décrit les normes de sécurité réseau à l'intérieur et à l'extérieur de la
Chine et le processus de certification de ces normes.

2 Huawei Confidential
 Objectifs

⚫ À la fin de ce cours, vous serez capable de :

 Décrire la définition et les caractéristiques de la sécurité des réseaux.
 Décrire l'histoire et la tendance du développement de la sécurité des réseaux.
 Décrire le système de gestion de sécurité des informations ISO 27001.
 Décrire la protection classifiée de cybersécurité 2.0.

3 Huawei Confidential
 Table des matières

1. Définition de la sécurité du réseau

◼ Présentation et historique du développement de la sécurité réseau

▫ Menaces communes pour la sécurité des réseaux

2. Tendances futures en matière de sécurité des réseaux

3. Normes et spécifications de sécurité des informations

4 Huawei Confidential
Sécurité du réseau
⚫ Au sens large, la sécurité des réseaux renvoie à la cybersécurité, qui est la sécurité du cyberespace au niveau national. Le cyberespace
est constitué d'infrastructures et de réseaux d'information distincts et interdépendants, notamment l'Internet, les réseaux de
télécommunications, les systèmes informatiques et les processeurs et contrôleurs intégrés.

⚫ Au sens étroit, la sécurité des réseaux désigne généralement les mesures nécessaires pour prévenir les attaques, les intrusions, les
interférences, les dommages et l'utilisation non autorisée des réseaux et des informations transmises sur les réseaux, ainsi que les
accidents inattendus, afin d'aider les réseaux à fonctionner dans un état stable et fiable et de garantir l'intégrité, la confidentialité et
la disponibilité des informations et des données du réseau.

Années 1940
Période de sécurité de la
communication
Les technologies de
communication étaient sous-
développées, les données étaient
dispersées et une grande
importance était accordée à la
confidentialité des informations.
Des années 1970 aux
années 1980
Période de sécurité de
l'information
Les technologies de réseau sont
entrées dans la pratique, et une
grande importance a été accordée
à la confidentialité, à l'intégrité et
à la disponibilité des informations.
Années 1990
Période d'assurance de
l'information
La contrôlabilité et la non-
répudiation sont devenues
de nouveaux principes de
sécurité de l'information.
De nos jours
Période de sécurité du
cyberespace
La connotation et la
dénotation de la sécurité de
l'information s'étendent et
évoluent constamment vers la
sécurité du cyberespace.

Historique du développement de la sécurité des réseaux

5 Huawei Confidential
Période de sécurité de la communication
⚫ Dans les années 1940, les technologies de communication étaient sous-développées et les données étaient stockées à différents
endroits. La sécurité des systèmes d'information se limitait à la sécurité physique de l'information et à la sécurité de la
communication basée sur le chiffrement (principalement le chiffrement de flux). Par exemple, les informations étaient stockées dans
un endroit relativement sûr et il était interdit aux utilisateurs non autorisés d'y accéder ; des technologies de chiffrement étaient
utilisées pour assurer la sécurité des différents processus d'échange d'informations tels que le téléphone, le télégraphe et le fax,
garantissant ainsi la sécurité des données. Il était crucial de garantir la sécurité des données lors de leur transmission entre deux
sites.

⚫ La sécurité des systèmes d'information se limitait à assurer la sécurité physique des informations et la confidentialité des
communications.

A B C D E F G H I J ...
SECURITY PBZROFQV
X Y Z A B C D E F G H I J ...

6 Huawei Confidential
Période de sécurité de l'information
⚫ L'application des technologies de l'informatique et des réseaux est entrée dans une phase d'utilisation
pratique et à grande échelle, et la transmission de données a pu être réalisée par des réseaux
informatiques.
⚫ L'objectif principal de la sécurité de l'information est de garantir l'intégrité, la disponibilité et la
confidentialité des informations.
Intégrité Disponibilité Confidentialité

• Veiller à ce que les • Veiller à ce que le • Veiller à ce que les

informations ne soient pas
altérées pendant la
transmission. Si
l'information est altérée, le
récepteur peut détecter
cette altération.
personnel autorisé puisse
obtenir et utiliser les actifs
d'information connexes
selon les besoins.
informations ne puissent
être obtenues et utilisées
que par le personnel
autorisé. Même si les
auteurs d'attaques volent
des données, ils ne peuvent
pas lire les informations
correctes.

7 Huawei Confidential
Période d'assurance de l'information
⚫ La contrôlabilité et la non-répudiation sont devenues les nouvelles priorités de la sécurité des
informations, en plus de la confidentialité, de l'intégrité et de la disponibilité.
⚫ Un système d'assurance des informations de l'entreprise a été construit à partir de trois aspects : les
services, le système de sécurité et la gestion.

Les risques et les modes de défense varient en

Le système d'assurance de Services fonction du trafic de services.
l'information de l'entreprise
Confidentialité a été construit à partir de
trois aspects basés sur les
Intégrité Des moyens plus techniques ont été utilisés pour
principes de la sécurité de
l'information. associer la gestion de la sécurité à la protection
Disponibilité Système de technique afin de permettre une défense proactive
sécurité plutôt qu'une protection passive.
Contrôlabilité

Non répudiation Le personnel de gestion de la sécurité a été

encouragé et le système de gestion de la
Gestion
sécurité a été établi.

8 Huawei Confidential
Période de sécurité du cyberespace
⚫ La connotation et la dénotation de la sécurité de l'information s'étendent et évoluent vers la sécurité du
cyberespace. L'objectif est d'assurer la sécurité de l'ensemble du cyberespace, y compris les installations, les
données, les utilisateurs et les opérations.
⚫ Des normes et réglementations nationales (telles que la protection classifiée de la cybersécurité) sont publiées pour
guider les entreprises dans la mise en place d'un système de gestion de sécurité des informations.

Sécurité des
informations

Sécurité du
cyberespace

9 Huawei Confidential
Importance de la sécurité des réseaux
Importance
La sécurité des réseaux est
essentielle à la sécurité nationale.
⚫ La sécurité des réseaux est
devenue le fondement de la
prospérité économique, de la
stabilité sociale et du
développement national.
⚫ La concurrence géopolitique des
différents pays a dépassé les
limites de l'espace physique et s'est
étendue au cyberespace.
10 Huawei Confidential
Conformité
La construction du système de
gestion de sécurité des
informations de l'entreprise doit
être conforme aux politiques de
sécurité du réseau.
⚫ La Chine améliore constamment le
système de politique de sécurité de
l'information en termes de
politiques, de réglementations et
de normes.
⚫ Les réseaux des agences
gouvernementales et des
entreprises doivent respecter les
spécifications de protection de
sécurité classifiée.
Profitabilité
En renforçant la sécurité du
réseau, les entreprises peuvent
réduire les pertes causées par les
attaques du réseau.
⚫ Les attaques de réseau devenant
un service, les entreprises sont
confrontées à davantage de
risques liés au réseau.
⚫ Les entreprises subiront d'énormes
pertes si leurs systèmes
d'application tombent en panne et
si les informations des utilisateurs
fuient en raison d'attaques de
réseau.
 Table des matières

1. Définition de la sécurité du réseau

▫ Présentation et historique du développement de la sécurité réseau
◼ Menaces communes pour la sécurité des réseaux

2. Tendances futures en matière de sécurité des réseaux

3. Normes et spécifications de sécurité des informations

11 Huawei Confidential
Menaces de sécurité du réseau
Les pirates informatiques sont à
l'origine des incidents de sécurité de
1 l'information. Ils attaquent les
réseaux pour obtenir des
informations utiles ou des
récompenses substantielles, ce qui
s'accompagne généralement d'actes
criminels.
La Violation des informations est
l'incident de sécurité des informations
le plus courant sur les réseaux. En
implantant des chevaux de Troie ou
en installant des dispositifs d'écoute
sur les appareils des utilisateurs et en
utilisant d'autres moyens, les pirates
peuvent exploiter les informations
collectées et analyser les coordonnées
et le comportement des personnes à
partir de photos, d'e-mails, de
vidéoconférences et de matériel
social.
12 Huawei Confidential
Les vulnérabilités sont à l'origine de
tous les problèmes de sécurité. Les
nouvelles vulnérabilités augmentent
rapidement, tandis que la découverte
de vulnérabilités pénètre depuis la
couche application jusqu'aux
composants de la couche inférieure, et
même jusqu'à la couche d'architecture,
ce qui élargit l'impact.
Les attaques DDoS deviennent un
service et un nouveau moyen pour les
auteurs d'attaques de réaliser des
profits. Les auteurs d'attaques
obtiennent des avantages économiques
en vendant des boîtes à outils et des
services de cybercriminalité, et la
cybercriminalité est en hausse.
Le nombre d'attaques par
ransomware ne cesse d'augmenter. À
mesure que le seuil d'attaque est
abaissé, les politiques de rançonnement
multiple peuvent devenir la norme en
matière d'attaque. La rançon
demandée devient plus élevée, et les
protocoles d'hameçonnage et de
bureau à distance sont les principaux
supports des attaques par ransomware.
Les menaces et attaques contre
la chaîne d'approvisionnement
sont en hausse. Comme une
chaîne d'approvisionnement
implique un grand nombre
d'entreprises et d'utilisateurs en
aval, les attaques réussies peuvent
avoir un impact considérable.
Pirate
⚫ Un pirate est une personne qui a une connaissance
approfondie de la conception de logiciels, de la
programmation et de l'informatique.
 En termes de logiciels informatiques, les pirates sont un groupe de
personnes qui s'intéressent particulièrement aux ordinateurs et
aux systèmes de réseaux d'ordinateurs et qui en ont une
connaissance approfondie.
 En termes d'informatique amateur, les pirates désignent les
amateurs qui étudient comment modifier les produits
informatiques.
 En termes de sécurité de l'information, les pirates informatiques
désignent les personnes qui étudient comment accéder
intellectuellement aux systèmes de sécurité informatique. Ils
utilisent les réseaux de communication publics, tels que les
systèmes téléphoniques et l'Internet, pour se connecter de
manière non autorisée aux systèmes des autres et les exploiter.

13 Huawei Confidential
Vulnérabilité
⚫ Une vulnérabilité est un défaut ou une faiblesse dans le matériel, les logiciels ou les protocoles des
systèmes informatiques ou dans les politiques de sécurité des systèmes.
⚫ Des incidents liés à la sécurité de l'information, tels que le contournement ou l'escalade des
autorisations, l'exécution d'instructions non autorisées, la divulgation de données et les attaques DoS,
peuvent se produire dans les systèmes d'information.
⚫ Sur un réseau opérationnel, les ingénieurs effectuent une analyse de vulnérabilité pour détecter la
vulnérabilité du réseau ou de l'hôte cible. Elle peut être utilisée pour la simulation d'attaques et l'audit
de sécurité.
Analyse de vulnérabilité
Détection du système
d'exploitation et analyse des ports Vérifiez si le système présente des
Balayage Ping failles de sécurité.
Collecter davantage
Découvrez l'hôte ou le d'informations sur les cibles.
réseau cible.

14 Huawei Confidential
Attaque de ransomware
⚫ Un opérateur d'oléoducs de pétrole raffiné a été attaqué par un ransomware, et les ordinateurs qui gèrent l'oléoduc
ont été touchés. En conséquence, certains systèmes d'approvisionnement en carburant ont dû être mis hors service.
L'incident était une attaque réseau dévastatrice sur une infrastructure critique.
⚫ Processus d'attaque de ransomware

Intrusion Diffusion Vol Extorsion

• Craquage de mots de • Après s'être introduit • L'auteur de l'attaque • Finalement, l'auteur de

passe SQL faibles
• Hameçonnage
• Courriel malveillant
• Livraison de pièces
jointes malveillantes
dans un hôte, l'auteur de
l'attaque utilise diverses
méthodes d'attaque pour
propager l'attaque sur le
réseau cible et
augmenter le nombre
d'hôtes contrôlés.
parcourt les données sur
l'hôte attaqué,
sélectionne les objets
d'attaque les plus
précieux, vole les
données sur l'hôte
contrôlé et télécharge les
données sur le serveur
contrôlé par l'auteur de
l'attaque.
l'attaque exécute un ou
plusieurs virus
ransomware pour faire
planter le réseau cible,
puis laisse des lettres de
demande de rançon pour
extorquer des centaines
de milliers voire des
millions de dollars
américains, ou vend des
données pour en tirer des
bénéfices.

15 Huawei Confidential
Violation des informations
⚫ Un chercheur en sécurité a découvert qu'une base de données non protégée existe sur le réseau. La base de
données rassemblait environ 5 milliards de données et pouvait être accessible sans authentification d'identité. Le
chercheur a informé l'entreprise à laquelle appartenait la base de données. Trois jours plus tard, la société a protégé
la base de données, mais les données ont peut-être été divulguées.

Le chercheur en sécurité a
identifié le problème et en a
informé la société à laquelle
appartenait la base de données.

La base de données a
été interrogée par un
moteur de recherche.
Jour 1
Nom
L'entreprise a
protégé la base
Adresse e-mail
de données. Mot de passe
Source des données
Une fois que les pirates
ont obtenu les données, ils
peuvent les utiliser pour
pirater les comptes des
utilisateurs ou lancer des
attaques par le biais d'e-
Jour 2 Jour 6 mails d'hameçonnage.

16 Huawei Confidential
Attaque DDoS
⚫ Les pirates (individus ou organisations) lancent des attaques par Guangdong
Zhejiang
13.12%
déni de service distribué (DDoS) pour épuiser les ressources du 9.95%
réseau ou du système du serveur cible. En conséquence, les Shandong
8.14%
services du serveur sont temporairement interrompus ou arrêtés, Beijing
et les utilisateurs autorisés ne peuvent pas accéder aux services. 18.54%

⚫ Avec l'émergence de l'Internet des objets (IoT), de plus en plus de Henan

6.33%
dispositifs IoT sont connectés aux réseaux. Dans ce contexte, les
pirates peuvent rapidement lancer des attaques DDoS à grande Shanghai
échelle en exploitant les vulnérabilités du matériel ou de la 6.11%
gestion des appareils. Les pirates utilisent les ressources des
Sichuan
attaques DDoS pour fournir des services de location de capacités,
5.88%
Others
et les auteurs de l'attaque qui n'ont pas de capacités techniques
20.85%
peuvent personnaliser les attaques selon leurs besoins. C'est Jiangsu
Hebei Fujian Tianjin 5.20%
devenu le moyen le plus courant pour les organisations de pirates 1.94% 1.94% 1.99%
qui disposent de capacités d'attaque DDoS de réaliser des profits.
2018 Website Attack Situation and Attack Gang Mining
and Analysis Report of CNCERT
Distribution des adresses IP des serveurs qui subissent
des attaques de sites web en Chine (par province)

17 Huawei Confidential
Attaque de la chaîne d'approvisionnement
⚫ Les attaques de la chaîne d'approvisionnement sont des attaques de réseau lancées contre les chaînes d'approvisionnement, et
l'impact de l'attaque est étendu aux partenaires concernés et aux entreprises clientes par le biais des chaînes d'approvisionnement.
⚫ L'incident d'une attaque de la chaîne d'approvisionnement sur les produits d'une célèbre société de développement de logiciels de
gestion des systèmes d'information et de surveillance des réseaux a été dévoilé, attirant l'attention du monde entier. L'entreprise a
subi l'attaque de la chaîne d'approvisionnement lancée par une organisation de menaces persistantes avancées (APT). Le package
d'installation du logiciel de la plateforme de l'entreprise était implanté avec une porte dérobée, et tous les clients utilisant le logiciel
risquaient d'être victimes d'une intrusion. Ce logiciel est un élément de la plateforme de gestion qui permet de surveiller et
d'analyser en temps réel les périphériques réseau. Parmi ses clients figurent des organismes gouvernementaux, militaires et éducatifs,
ainsi que d'autres institutions importantes et des entreprises de renommée internationale.
Télécharger ou
Composant d'accès illégal mettre à jour

Implant
Intrus Package d'installation Package
du composant de d'installation officiel
service de base
Partenaires/clients d'entreprise

18 Huawei Confidential
 Table des matières

1. Définition de la sécurité du réseau

2. Tendances futures en matière de sécurité des réseaux

3. Normes et spécifications de sécurité des informations

19 Huawei Confidential
Les 8 principales tendances de Gartner en matière de
sécurité et de risque
Numéro Tendance en matière de sécurité et de risque

Maillage de la cybersécurité : Le maillage de la cybersécurité est une approche conceptuelle moderne de l'architecture de sécurité qui permet à
1
l'entreprise distribuée de déployer et d'étendre la sécurité là où elle est le plus nécessaire pour faire face aux futures menaces de cybersécurité.

Les conseils d'administration cybernétiques : Les entreprises accordent une plus grande attention à la cybersécurité et des comités spécialisés
2
dans ce domaine sont formés, souvent dirigés par un membre du conseil d'administration ayant une expérience en matière de sécurité.
Consolidation des fournisseurs : La consolidation des fournisseurs et les produits de sécurité avec une plus grande intégration peuvent améliorer
3
l'efficacité des opérations d'exploitation et maintenance (O&M) et réduire les coûts de l'entreprise.
Sécurité basée sur l'identité : Comme les attaquants se concentrent sur l'obtention d'identités et d'autorisations d'accès et de gestion, la sécurité
4
fondée sur l'identité devient plus urgente.
La gestion des identités des machines devient une capacité de sécurité essentielle : Le nombre d'entités non humaines qui composent les
5 applications modernes a connu une croissance explosive. Par conséquent, la gestion des identités des machines est devenue un élément
essentiel des opérations de sécurité.
Le « travail à distance » n'est plus qu'un « travail » : Pour mettre en œuvre le travail de bureau à distance à l'avenir, les entreprises ont besoin
6
d'un redémarrage total des politiques et des outils de sécurité pour mieux atténuer les risques de sécurité.
Simulation de brèches et d'attaques (BAS) : Un nouveau marché de la BAS est en train d'émerger pour aider les entreprises à valider leur
7
situation en matière de sécurité et à améliorer leurs capacités de protection de la sécurité.
Techniques de calcul permettant d'améliorer la confidentialité : Ces techniques permettent de sécuriser le traitement, le partage, les transferts
8
transfrontaliers et l'analyse des données, même dans des environnements non fiables.

20 Huawei Confidential
Conscience de la situation en matière de sécurité des
reseaux (1/2)
⚫ À mesure que l'échelle du réseau d'entreprise s'agrandit, l'architecture de sécurité devient de plus en plus complexe, et les différents
types de dispositifs et de données de sécurité se multiplient, ce qui exerce une pression accrue sur les entreprises en matière
d'exploitation et maintenance (O&M) de la sécurité.

⚫ Actuellement, les dispositifs de sécurité déployés sur les réseaux d'entreprise mettent principalement en œuvre la détection à point
unique. Ces systèmes de protection de sécurité isolés peuvent difficilement faire face aux nouvelles menaces de réseau représentées
par les APTs.

⚫ La conscience de la situation en matière de sécurité des réseaux permet une identification dynamique et complète des risques de
sécurité en fonction de l'environnement. Il utilise des technologies telles que la convergence des données, l'exploration des données,
l'analyse intelligente et la visualisation pour afficher clairement le statut de la sécurité en temps réel de l'environnement du réseau,
fournissant ainsi une assistance technique pour l'assurance de la sécurité du réseau.
Analyse des données de sécurité et affichage
des résultats
Fonction de conscience
de la situation en Collecte des éléments de sécurité
matière de sécurité

Traitement des données de sécurité

21 Huawei Confidential
Conscience de la situation en matière de sécurité des
réseaux (2/2)

Sonde de débit
HiSec Insight

Collecteur
HiSec Insight

Sonde de débit
HiSec Insight

Le HiSec Insight est déployé sur les réseaux d'entreprise pour

collecter les données de base du réseau, telles que le trafic et les
journaux des appareils, à l'aide de la sonde de flux. En s'appuyant
sur l'analyse de données massives, l'apprentissage automatique, la
réputation d'experts et l'intelligence, HiSec Insight peut détecter
Réseau de efficacement les menaces potentielles et les menaces avancées sur
Zone de serveur
bureau les réseaux d'entreprise, en mettant en œuvre une conscience de la
situation de la sécurité à l'échelle du réseau. Les résultats de
l'analyse sont affichés de manière centralisée sur l'interface
graphique.

22 Huawei Confidential
Sécurité de confiance zéro
⚫ La confiance zéro est un ensemble de paradigmes évolutifs en matière de sécurité des réseaux qui font passer la défense des réseaux
des frontières statiques aux utilisateurs, aux actifs et aux ressources. L'architecture de confiance zéro (ZTA) est une stratégie de
sécurité des réseaux d'entreprise fondée sur le principe de la confiance zéro. Elle vise à empêcher la divulgation de données et à
restreindre le mouvement latéral des attaques sur un réseau.
⚫ L'idée centrale de la confiance zéro est que tous les utilisateurs, dispositifs ou systèmes à l'intérieur et à l'extérieur du réseau ne sont
pas fiables par défaut, et que la base de confiance doit être établie par l'authentification, l'autorisation et le contrôle d'accès. C'est-à-
dire, ne jamais faire confiance, toujours vérifier.
Réseau externe Réseau externe d'une entreprise
d'une entreprise
Auteur de
l'attaque

Virus

Prendre des décisions

stratégie d'accès.
en fonction de la
Réseau interne Réseau interne
d'une entreprise d'une entreprise

Centré sur le réseau Centré sur l'identité

23 Huawei Confidential
 Table des matières

1. Définition de la sécurité du réseau

2. Tendances futures en matière de sécurité des réseaux

3. Normes et spécifications de sécurité des informations

◼ Aperçu des normes de sécurité de l'information

▫ Introduction au système de gestion de sécurité des informations ISO 27001

▫ Système de protection classifié en matière de cybersécurité

24 Huawei Confidential
Importance des normes de sécurité de l'information
⚫ Les normes de sécurité de l'information sont des documents normatifs qui sont formulés sur la base
d'un consensus, approuvés par des autorités reconnues et utilisés dans l'ensemble de l'industrie pour
obtenir la meilleure sécurité possible.
⚫ La normalisation de la sécurité de l'information est un élément important du système national
d'assurance de la sécurité des réseaux.

Comment les
La réalisation et la
entreprises peuvent-
vérification de chaque
elles assurer la sécurité
étape selon des
de leurs propres
normes
systèmes
internationales faisant
d'information ?
autorité constituent
une bonne solution.

25 Huawei Confidential
Organismes de normalisation de la sécurité de l'information
⚫ Les organisations internationales liées à la normalisation de la sécurité de
l'information comprennent :
 L'organisation internationale de normalisation (ISO)
L'ISO et la CEI ont créé un comité
 Commission électrotechnique internationale (CEI) technique conjoint pour élaborer
des normes internationales dans
⚫ Les organismes de normalisation de la sécurité en Chine comprennent : le domaine des technologies
d'informations.
 Comité technique de normalisation de la sécurité nationale de l'information (TC260)
 Comité technique de la sécurité des réseaux et de l'information de l'Association chinoise
des normes de communication (CCSA)

⚫ Les autres organismes de normalisation sont les suivants :

 Union internationale des télécommunications (UIT)
 Groupe de travail sur l'ingénierie Internet (IETF)
 Institut national des normes et de la technologie (NIST)

26 Huawei Confidential
Normes et spécifications communes en matière de sécurité
des informations
Norme et spécification Définition

Système de protection
Le système de protection classifié en matière de cybersécurité est un système qui protège les
classifié en matière de
informations et les supports d'information en fonction de leur importance.
cybersécurité
La norme ISO 27001 est la norme internationale pour un système de gestion de sécurité des
ISO 27001 informations (ISMS). Elle peut aider les entreprises à établir et à optimiser leur propre ISMS
et à l'évaluer.

Les critères d'évaluation des systèmes informatiques de confiance (TCSEC) ont été proposés
par le Defense Science Board en 1970 et publiés par le ministère de la Défense des États-
TCSEC
Unis en décembre 1985. Il s'agit de la première norme formelle d'évaluation de la sécurité
des systèmes informatiques.

Les critères d'évaluation de la sécurité des technologies d'informations (ITSEC) sont formulés
par le Royaume-Uni, la France, l'Allemagne et les Pays-Bas. Les ITSEC font de meilleurs
ITSEC
progrès en matière de flexibilité des fonctions et de technologies d'évaluation connexes que
les TCSEC. Ils peuvent être appliqués dans l'armée, le gouvernement et les affaires.

27 Huawei Confidential
 Table des matières

1. Définition de la sécurité du réseau

2. Tendances futures en matière de sécurité des réseaux

3. Normes et spécifications de sécurité des informations

▫ Aperçu des normes de sécurité de l'information
◼ Introduction au système de gestion de sécurité des informations ISO 27001

▫ Système de protection classifié en matière de cybersécurité

28 Huawei Confidential
Système de gestion de sécurité des informations
⚫ Le système de gestion de sécurité des informations (ISMS) est un système dans lequel une organisation établit des
politiques et des objectifs de sécurité de l'information dans l'ensemble ou dans un périmètre spécifique et utilise
certaines méthodes pour atteindre ces objectifs. Le concept de ISMS est issu de la norme BS 7799 formulée par le
British Standards Institute (BSI) et a été largement accepté comme norme internationale.
⚫ La construction du ISMS est conforme au processus PDCA.
• Planifier : établir le ISMS.
• Faire : mettre en œuvre et exploiter le
ISMS.
Planifier
• Vérifier : surveiller et réviser le ISMS.
• Agir : maintenir et améliorer le ISMS.

Exigences et
attentes en matière Contrôles de
de sécurité de Agir ISMS Faire sécurité de
l'information l'information

Vérifier

29 Huawei Confidential
Évolution de la norme ISO 27000
⚫ La norme BS 7799 a ensuite été adoptée par l'ISO et est devenue une norme internationale officielle.
⚫ Les normes ISO/CEI 27001 et ISO/CEI 27002, publiées en 2013, sont les normes actuellement utilisées.

1995 2000 2007

• BS 7799-1
• Lignes directrices pour la mise
en œuvre des systèmes de
management de la sécurité de
l'information
• ISO/CEI 17799 • ISO/CEI 27002
• Technologie d'informations - • Règlement sur les
Code de pratique pour la gestion pratiques de gestion de
de la sécurité de l'information sécurité d'informations

1998 2005
• BS 7799-2 • ISO/CEI 27001
• Spécifications du système de • Exigences du système de
gestion de sécurité des gestion de sécurité des
informations informations

30 Huawei Confidential
ISMS et ISO/IEC 27000
⚫ ISO/CEI 27001 est une norme internationale pour le ISMS.
⚫ La certification ISO 27001 exige qu'une organisation réalise une gestion de la sécurité de l'information dynamique,
systématique, impliquant l'ensemble du personnel, institutionnalisée et axée sur la prévention, par le biais d'une
série de processus, tels que la détermination du champ d'application du SMSI, la spécification des politiques et
stratégies de sécurité de l'information, la spécification des responsabilités de gestion et la sélection des objectifs et
mesures de contrôle sur la base de l'évaluation des risques.
⚫ La norme ISO/CEI 27002 propose 35 objectifs de contrôle et 113 mesures de contrôle à partir de 14 aspects. Ces
objectifs et mesures de contrôle constituent les meilleures pratiques de gestion de la sécurité de l'information.

Exigences et normes pour la Établit

Norme ISO
mise en œuvre et ISMS
27001
l'établissement du ISMS

Idéologie de la gestion de la Opérations détaillées de gestion de

sécurité de l'information Fournit des règles de la sécurité de l'information
bonnes pratiques.
ISO/CEI 27001 ISO/CEI 27002

31 Huawei Confidential
Contenu du ISMS
⚫ Les 14 domaines de contrôle de la norme ISO 27002 sont les suivants :

Politique d'information Relation avec le fournisseur

Cryptage
sur la sécurité

Sécurité de la Sécurité physique et Gestion des incidents de

communication environnementale sécurité de l'information

Sécurité des ressources Aspects de la gestion de la

Sécurité des opérations continuité des activités liés à la
humaines
sécurité de l'information

Gestion des actifs Sécurité de transmission Conformité

Acquisition,
Contrôle d'accès développement et
maintenance du système

32 Huawei Confidential
Famille ISO 27000 ISMS
⚫ Outre les normes ISO/CEI 27001 et ISO/CEI 27002, les normes de la série ISO 27000 comprennent des normes liées
aux lignes directrices en matière de certification et d'audit et aux normes industrielles. Les normes de la série ISO
27000 visent à aider les entreprises et les organisations de différents types et tailles à établir et à gérer l'ISMS.

Partie 2
II
Certification et III IV
I
Lignes directrices en Exigences de l'industrie en Normes de gestion de la
Exigences et directives de reconnaissance
matière de certification, de matière de gestion de la sécurité des informations
support
reconnaissance et d'audit
Directives d'audit sécurité de l'information sur la santé

ISO/CEI 27000
ISO/CEI 27006 Finance
ISO/CEI 27001 ISO 27799

ISO/CEI 27002
ISO/CEI 27007 Télécommunications
ISO/CEI 27003 Les projets qui sont en
phase de recherche. Par
ISO/CEI 27004 exemple, la sécurité de la
Autres domaines de chaîne
ISO/CEI 27008 d'approvisionnement et de
sécurité spécifiques
ISO/CEI 27005 stockage des médicaments.

33 Huawei Confidential
Méthodologie et procédure de mise en œuvre du projet ISO
27001
Lancement du Conception et mise Fonctionnement et Certification et
Évaluation des
projet et analyse en service du surveillance du amélioration
risques
des lacunes système système continue
Organisez la réunion de Développer le processus
lancement du projet pour Former aux méthodes de Déterminer la tolérance de suivi des performances Audit interne ISMS
déterminer l'équipe de collecte des actifs et au risque et l'appétit pour de la gestion de la
projet et établir d'évaluation des risques. le risque. sécurité de l'information.
l'architecture de gestion
du projet. Audit externe ISMS
Essayer l'ISMS.
Évaluer la situation Identifier les menaces et Déterminer les mesures
actuelle de la gestion de les vulnérabilités et de traitement des risques Revue de direction de
la sécurité de analyser les failles de et mettre en œuvre le l'ISMS
l'information. sécurité. plan de rectification. Exploiter et surveiller le
système. Proposer des mesures
correctives et préventives
et des suggestions
Concevoir des politiques Évaluer les risques et d'amélioration continue.
Publier et former sur
de sécurité de déterminer les niveaux de Former à la gestion de la
l'ISMS. Organiser une réunion de
l'information. risque. continuité des activités.
synthèse du projet.

Planifier Faire Vérifier Agir

34 Huawei Confidential
 Table des matières

1. Définition de la sécurité du réseau

2. Tendances futures en matière de sécurité des réseaux

3. Normes et spécifications de sécurité des informations

▫ Aperçu des normes de sécurité de l'information

▫ Introduction au système de gestion de sécurité des informations ISO 27001

◼ Système de protection classifié en matière de cybersécurité

35 Huawei Confidential
Définition de la Protection classifiée de la cybersécurité
⚫ Protection classifiée de la cybersécurité : protège les informations et les supports d'information en fonction de leur
niveau d'importance.
⚫ Le système de protection classifié en matière de cybersécurité est devenu la politique nationale de base, le système
de base et la méthode de base dans le domaine de la sécurité des réseaux. La protection classifiée est une
« référence incontournable » pour les constructions de sécurité.

Loi sur la cybersécurité de la République populaire de Chine

Article 21 L'État met en œuvre un système de protection à plusieurs niveaux (MLPS) de la cybersécurité. Les opérateurs de réseaux doivent,
conformément aux exigences du système de protection à plusieurs niveaux, remplir les obligations de sécurité suivantes afin de garantir que le réseau
est exempt d'interférences, de dommages ou d'accès non autorisés, et d'empêcher la divulgation, le vol ou la falsification des données du réseau.

Article 31 L'État met en œuvre une protection clé sur la base du système de protection à plusieurs niveaux de la cybersécurité pour les services publics
de communication et d'information, l'électricité, la circulation, les ressources en eau, les finances, le service public, l'administration en ligne et d'autres
infrastructures d'information critiques qui, si elles sont détruites, subissent une perte de fonction ou voient leurs données divulguées, risquent de
compromettre gravement la sécurité nationale, le bien-être national, les moyens de subsistance de la population ou l'intérêt public. Le Conseil d'État
formulera le champ d'application spécifique et les mesures de protection de la sécurité des infrastructures d'information critiques.

Article 59 Lorsque les opérateurs de réseau ne s'acquittent pas des obligations de protection de la cybersécurité prévues aux articles 21 et 25 de la
présente loi, les services compétents ordonneront des corrections et donneront des avertissements ; lorsque les corrections sont refusées ou qu'elles
entraînent une atteinte à la cybersécurité ou d'autres conséquences de ce type, une amende comprise entre 10 000 et 100 000 CYN sera prélevée ; et le
personnel de direction directement responsable sera condamné à une amende comprise entre 5 000 et 50 000 CYN.

36 Huawei Confidential
Importance de la protection classifiée de la cybersécurité

Amélioration de la
Conformité aux lois Systématisation de la Exigences de sécurité
sensibilisation à la
et règlements sécurité des services
sécurité

Répondre aux Clarifier les objectifs Améliorer la Renforcer la

exigences de généraux de sensibilisation du construction de la
conformité aux lois l'organisation, personnel à la sécurité du réseau sur
et règlements, changer le mode de sécurité, établir des la base de la
mettre en œuvre les défense unique et idées de protection protection classifiée
obligations de rendre la construction des informations afin de répondre aux
protection de la de la sécurité plus classifiées et répartir exigences de sécurité
sécurité du réseau et systématique. correctement les des services.
éviter correctement investissements dans
les risques. la sécurité des
réseaux.

37 Huawei Confidential
Historique du développement de la protection classifiée en
matière de cybersécurité
⚫ Après plus de 20 ans de développement, la protection classée en matière de cybersécurité a traversé
quatre phases et est passée de la V1.0 à la V2.0.

2017 à nos jours

1994-2003
Phase initiale
L'État a appelé à renforcer la
construction de la sécurité de
l'information et a proposé de
classer les systèmes d'information
en différents niveaux de protection.
2004-2006
Phase de développement
A élaboré un grand nombre
de normes et de spécifications
relatives à la protection des
informations classifiées et les
a pilotées dans certaines
organisations.
2007-2016
Phase de promotion
(protection classifiée de
cybersécurité 1.0)
La contrôlabilité et la non-
répudiation sont devenues de
nouveaux principes de
sécurité de l'information.
Protection classifiée de
cybersécurité 2.0
Sur la base de la protection
classifiée de cybersécurité 1.0, le
ministère de la Sécurité publique
a formulé des normes de
protection classifiée de la
cybersécurité 2.0, couvrant les
nouvelles technologies telles que
l'informatique en nuage,
l'Internet mobile, l'Internet des
objets (IoT) et les systèmes de
contrôle industriels.

38 Huawei Confidential
Objets sous protection classifiée de cybersécurité
⚫ Un objet sous protection classifié de cybersécurité désigne généralement un système composé
d'ordinateurs ou d'autres terminaux d'information et de dispositifs connexes qui collectent, stockent,
transmettent, échangent et traitent des informations conformément à certaines règles et procédures.
Ces objets comprennent les réseaux d'information de base, les plateformes/systèmes de cloud
computing, les applications/plateformes/ressources de big data, l'IoT, les systèmes de contrôle
industriel et les systèmes qui utilisent les technologies de l'internet mobile.

Objets sous protection classifiée de cybersécurité

Système utilisant
Plateforme Plateforme de Système de
Plateforme de les technologies
d'informations cloud IoT contrôle
mégadonnées de l'internet
de base computing industriel
mobile

40 Huawei Confidential
Niveaux de protection de la sécurité des informations
⚫ Les objets sont classés en cinq niveaux de protection de la cybersécurité en fonction de leur importance
dans la sécurité nationale, la construction économique et la vie sociale, et de leur impact négatif sur la
sécurité nationale, l'ordre social, les intérêts publics ainsi que les droits et intérêts légitimes des
citoyens, des personnes morales et d'autres organisations lorsque les systèmes d'information des objets
subissent une attaque.
Degré de dommage sur l'objet
Objet endommagé Dommages spécialement
Dommages mineurs Dommages importants
importants
Droits et intérêts légitimes des
citoyens, personnes morales et Niveau 1 Niveau 2 Niveau 3
autres organisations
Ordre social
Niveau 2 Niveau 3 Niveau 4
Intérêts publics
Sécurité nationale Niveau 3 Niveau 4 Niveau 5

Relation entre les éléments de classement et les niveaux de protection de sécurité

41 Huawei Confidential
Processus de notation du système de protection classifié en
matière de cybersécurité
Détermination des Réseaux d'information de base, systèmes de contrôle industriel, plateformes de cloud computing, IoT, autres
objets à classer systèmes d'information, big data, etc.

Confirmation Déterminer l'objet endommagé, le degré d'endommagement de l'objet et le degré d'endommagement.

préliminaire des niveaux

L'unité d'exploitation et d'utilisation des objets à évaluer doit organiser des experts en sécurité de
Examen d'expert l'information et des experts commerciaux pour examiner le caractère raisonnable du résultat préliminaire de
l'évaluation et fournir des commentaires d'experts.

Examen par le service L'unité d'exploitation et d'utilisation des objets à classer doit communiquer le résultat du classement au service
compétent compétent de l'industrie pour examen et fournir des commentaires d'examen.

Archivage et révision
des organes de sécurité
publique
L'unité d'exploitation et d'utilisation des objets à classer doit soumettre le résultat du classement à l'organe de
sécurité publique pour archivage et examen conformément aux règles de gestion pertinentes.

Niveaux
finalisés

42 Huawei Confidential
Capacités de protection de sécurité à différents niveaux
Niveau 5

Niveau 1
Auto-protection : d'information importants de
S'applique aux petites
entreprises privées, aux
entreprises individuelles,
aux écoles primaires et
secondaires, aux systèmes l'État, des entreprises et des
d'information des
communes et aux systèmes
d'information communs des
organisations au niveau du
comté.
Niveau 2
Protection guidée :
S'applique aux systèmes
certaines organisations au
niveau du comté et aux
systèmes d'information
communs des organes de
institutions publiques au
niveau de la ville ou plus.
Niveau 4
Protection dédiée :
S'applique à des systèmes
Niveau 3 extrêmement importants
Protection forcée : dans des domaines et des
S'applique aux domaines départements importants
importants d'un pays, en d'un pays.
Protection supervisée : particulier aux systèmes
S'applique aux systèmes clés et aux systèmes
d'information importants centraux des secteurs
des organes de l'État, des importants.
entreprises et des
institutions publiques au
niveau de la ville ou plus.

43 Huawei Confidential
Exigences de sécurité pour la protection classifiée de
cybersécurité
⚫ Les exigences de sécurité pour la protection classifiée de la cybersécurité 2.0 sont classées en exigences de sécurité
générales et en exigences de sécurité étendues pour mettre en œuvre une protection commune et personnalisée
des objets protégés à différents niveaux et sous différentes formes.
⚫ Les exigences de sécurité générales et les exigences de sécurité étendues sont classées en exigences techniques et
en exigences de gestion. Les différents niveaux de sécurité correspondent à des exigences différentes. Plus le niveau
de sécurité est élevé, plus les exigences sont strictes.

Exigences de sécurité pour la protection Exigences techniques Conditions de gestion

classifiée de cybersécurité 2.0
Environnement physique sécurisé Système de gestion de sécurité
sécurité étendues

Exigences générales en matière de sécurité Réseau de communication Organisation de la gestion de la

Exigences de

Exigences de sécurité étendues pour sécurisé sécurité

l'informatique en nuage Environnement informatique
Personnel de gestion de la sécurité
Exigences de sécurité étendues pour sécurisé
l'interconnexion mobile
Frontière de la zone de sécurité Gestion de la construction de sécurité
Exigences de sécurité étendues pour l'IdO
Exigences de sécurité étendues pour les Gestion d'exploitation et maintenance
Centre de gestion de la sécurité
systèmes de contrôle industriels (O&M) de la sécurité

44 Huawei Confidential
Protection classifiée de cybersécurité 2.0
⚫ En plus de la norme GB/T 22239-2019 qui spécifie les exigences de base de la protection classifiée de la
cybersécurité, la norme 2.0 sur la protection classifiée de cybersécurité spécifie également une série
d'autres normes pour guider son classement, sa mise en œuvre et son évaluation.

Protection classifiée de cybersécurité 2.0

Lignes directrices pour Exigences en matière de

Exigences de base
l'évaluation conception
GB/T 22239-2019
GB/T 22240-2020 GB/T 25070-2019

Directive de mise en Exigences en matière Directive sur le processus

œuvre d'évaluation d'évaluation
GB/T 25058-2019 GB/T 28448-2019 GB/T 28449-2018

45 Huawei Confidential
Processus de travail de la protection classifiée de
cybersécurité
Unité de commande
(Client)
Securité
unité de construction
(Huawei ou un tiers)
Organisme de conseil
(Huawei ou un tiers)
commentaires d'experts.
Organisme de
l'évaluation
(Organisme tiers)
Organe de sécurité
publique
46 Huawei Confidential
3. Construction et 4. Évaluation du 5. Supervision et
1. Notation 2. Archivage
rectification niveau inspection
Préparer les documents Construire des
Déterminer le niveau et les soumettre à systèmes de Accepter une
Accepter l'évaluation.
et préparer le rapport. l'organe local de sécurité technologie et de inspection régulière.
publique pour archivage. gestion.
Fournir des produits et
Assistance Assistance
services de sécurité.
Aider l'unité
Aider l'unité Assister l'unité Aider l'unité Assister l'unité
opérationnelle à mettre
opérationnelle à opérationnelle dans la opérationnelle à opérationnelle dans
en place le système
préparer le rapport de préparation et participer à l'évaluation l'acceptation de
technologique de
notation et fournir des l'archivage des et à la rectification des l'inspection et effectuer
sécurité et à élaborer des
documents. niveaux. la rectification.
règles de gestion.
Évaluation du niveau
Examen, traitement et Supervision et
archivage inspection régulières
 Quiz
1. (Question à réponse unique) Dans le cadre de la protection classifiée de la cybersécurité 2.0, un
opérateur de réseau peut déterminer lui-même le niveau final de protection de sécurité lorsque le
niveau de protection de sécurité est déterminé au préalable comme étant ____.
A. Niveau 1
B. Niveau 2
C. Niveau 3
D. Niveau 4
2. (Vrai ou faux) La norme ISO 27002 peut être utilisée pour certifier le système de sécurité de
l'information d'une entreprise.
A. Vrai
B. Faux

47 Huawei Confidential
 Sommaire
⚫ Ce cours présente brièvement les quatre phases de développement de la sécurité de
l'information : la sécurité des communications, la sécurité de l'information, l'assurance de
l'information et la sécurité du cyberespace, et décrit les concepts et solutions de sécurité tels
que la conscience de la situation de la sécurité des réseaux et la sécurité de la confiance
zéro. Ce cours illustre également la formulation de diverses normes internationales et
nationales en matière de sécurité de l'information, telles que ISO 27001 et Cybersecurity
Classified Protection 2.0. Ces normes et spécifications favorisent la construction de systèmes
de gestion de la sécurité de l'information des entreprises. À l'issue de ce cours, vous serez en
mesure de comprendre les concepts et les spécifications de la sécurité de l'information.

48 Huawei Confidential
 Recommandations
⚫ Sites Web officiels de Huawei
 Service d'entreprise : https://e.huawei.com/en/
 Assistance technique : https://support.huawei.com/enterprise/en/
 Apprentissage en ligne : https://learning.huawei.com/en/

49 Huawei Confidential
Acronymes et abréviations (1/2)
Sigle/Abréviation Orthographe complète
APT Menace persistante avancée
BS Norme britannique
CCSA Association chinoise des normes de communication
CDN Réseau de diffusion de contenu
DDoS Déni de service distribué
DNS Système de noms de domaine (DNS)
GB Normes nationales chinoises
CEI Commission électrotechnique internationale
IETF Groupe de travail sur l'ingénierie Internet
IoT Internet des objets
ISMS Système de gestion de sécurité des informations

ISO Organisation internationale de normalisation

50 Huawei Confidential
Acronymes et abréviations (2/2)

Sigle/Abréviation Orthographe complète

ITSEC Critères d'évaluation de la sécurité des technologies d'informations

ITU Union internationale des télécommunications

NIST Institut national des normes et de la technologie

P2P Peer to Peer (« Pair à Pair »)

PDCA Plan–Do–Check–Act

SaaS Logiciel en tant que service

SQL Langage d'interrogation structuré

Comité technique de la normalisation de la sécurité nationale de
TC260
l'information
TCSEC Critères d'évaluation des systèmes informatiques de confiance

ZTA Architecture de confiance zéro

51 Huawei Confidential
Thank you. 把数字世界带入每个人、每个家庭、
每个组织，构建万物互联的智能世界。
Bring digital to every person, home, and
organization for a fully connected,
intelligent world.

Copyright© 2023 Huawei Technologies Co., Ltd.

All Rights Reserved.

The information in this document may contain predictive

statements including, without limitation, statements regarding
the future financial and operating results, future product
portfolio, new technology, etc. There are a number of factors
that could cause actual results and developments to differ
materially from those expressed or implied in the predictive
statements. Therefore, such information is provided for reference
purpose only and constitutes neither an offer nor an acceptance.
Huawei may change the information at any time without notice.