CYBERSECURITE 2ème Année en RT

UE IUT GRT 33: CONFIGURATION ET
EXPLOITATION DE RESEAUX D’ENTREPRISE
GRT 332 : Introduction à la CyberSécurité
DUT 2
Équipe pédagogique
M. YEKEITE TIMBA
M. DIPOKO NJOH Jonathan
UE IUT GRT 33 : Configuration et exploitation de réseaux d’entreprise
GRT 332 : Introduction à la CyberSécurité Durée: 60h
OBJECTIF GENERAL
Etre capable de développer une politique pertinente de sécurité des réseaux
OBJECTIFS SPECIFIQUES
Sécurité : Intégrité, authentification, confidentialité
• Audit de sécurité, vulnérabilité, détection d’intrusion
• Approfondissement des mécanismes de filtrage et de contrôle d’accès (Proxy-Firewall, NAT, ACL...)
• Services sécurisés. Applications sécurisées (HTTPS…)
• Déploiement et mise en œuvre de système de cryptographie (clés, signature lectronique…)
• Systèmes d’authentification. Infrastructure à clé publique et certificats
• Tunnel (VPN...)
• VLAN
• Aspects légaux
Equipe pédagogique
Noms et Prénoms CM TP TD TPE

M. YEKEITE
M. DIPOKO NJOH Jonathan
Fiche de progression
Séances Thèmes développés Durée
Séance 1 Chapitre 1 Cybersécurité – Généralités 2h
Séance 2 Chapitre 2 : Le cube magique de la cybersécurité 2h
Séance 3 Chapitre 3 : menaces pour la cybersécurité, vulnérabilités et attaques 2h
Séance 4 Chapitre 4 : L'art de protéger des secrets 2h

Séance 5 Chapitre 5 : L'art d'assurer l'intégrité 2h
Séance 6 Chapitre 6 : Le royaume des cinq neuf 2h
Séance 7 Chapitre 7 : Renforcer la sécurité 2h
Séance 8 Chapitre 8 : Devenir spécialiste de la cyber sécurité 1h

SOURCES DOCUMENTAIRES
(1) Site Internet
- netacad.com
- https://static-course-assets.s3.amazonaws.com/CyberEss/fr/index.html#8.0.1.1
(2) Ouvrage/ Revues
- les réseaux informatiques
- les réseaux Informatiques pour les nuls

SOMMAIRE
Chapitre 4 : L'art de protéger des secrets........................................................................................................4

Chapitre 5 : L'art d'assurer l'intégrité..............................................................................................................4
Chapitre 6 : Le royaume des cinq neuf............................................................................................................4
Chapitre 7 : Renforcer la sécurité....................................................................................................................4
Chapitre 8 : Devenir spécialiste de la cyber sécurité.......................................................................................4
Chapitre 1 : Cyber sécurité - Généralités.....................................................................................................8
Présentation des acteurs.................................................................................................................................9
Un monde virtuel..........................................................................................................................................10
Croissance d’un monde virtuel....................................................................................................................11
Qui sont les cybercriminels ?.......................................................................................................................12
Motivations des cybercriminels...................................................................................................................14
Contrer les cybercriminels...........................................................................................................................15
Les menaces..................................................................................................................................................16
Types de données personnelles....................................................................................................................16
Menaces contre les services..........................................................................................................................17
Les menaces ciblant les secteurs du monde virtuel....................................................................................18
Menaces internes et externes.......................................................................................................................19
Les vulnérabilités des terminaux mobiles...................................................................................................20
L'émergence de l'Internet des objets...........................................................................................................20
L'impact du Big Data...................................................................................................................................20
Utilisation d'armes avancées........................................................................................................................21
Une portée plus large et un effet domino....................................................................................................21
Résumé..........................................................................................................................................................23
Chapitre 2 : Le cube magique de la cybersécurité.....................................................................................24
Les principes de la sécurité..........................................................................................................................24
Les états des données....................................................................................................................................25
Dispositifs de protection en cybersécurité...................................................................................................26
Le principe de confidentialité......................................................................................................................26
Protection de la vie privée............................................................................................................................26
Contrôle d'accès............................................................................................................................................27
Principe de l'intégrité des données..............................................................................................................30
Importance de l'intégrité des données.........................................................................................................30
Vérification de l'intégrité.............................................................................................................................31
Le principe de disponibilité..........................................................................................................................33
Les « cinq neuf »...........................................................................................................................................34
Assurer la disponibilité................................................................................................................................35
Types de stockage des données....................................................................................................................36
Défis relatifs à la protection des données stockées.....................................................................................37
Méthodes de transmission des données.......................................................................................................37
Défis relatifs à la protection des données en transit...................................................................................38
Formes de calcul et de traitement des données...........................................................................................39
Défis relatifs à la protection des données en cours de traitement.............................................................40
Des protections technologiques logicielles...................................................................................................40
Politiques.......................................................................................................................................................43
Domaines de la cybersécurité.......................................................................................................................44
Chapitre 3 : menaces pour la cybersécurité, vulnérabilités et attaques...................................................46
Qu'est-ce qu'un malware ?..........................................................................................................................46
Virus, vers et chevaux de Troie...................................................................................................................46
Bombes logiques...........................................................................................................................................47
Ransomware..................................................................................................................................................47
Portes dérobées et rootkits...........................................................................................................................48
Protection contre les malwares....................................................................................................................48
Courrier indésirable.....................................................................................................................................49
Logiciel espion, logiciel publicitaire et scareware......................................................................................50
Phishing.........................................................................................................................................................50
Phishing vocal, phishing par SMS (SMiShing), détournement de domaine et whaling...........................51
Protection contre les attaques par e-mail et via le navigateur...................................................................52
Techniques d'ingénierie sociale....................................................................................................................52
Espionnage par-dessus l'épaule (Shoulder Surfing) et fouille de poubelles (Dumpster Diving).............53
Usurpation d'identité et canulars................................................................................................................53
Passage en double et talonnage....................................................................................................................54
Supercherie en ligne, par e-mail ou sur le web...........................................................................................54
Protection contre la supercherie..................................................................................................................54
Repérage........................................................................................................................................................55
Mystification.................................................................................................................................................55
Man-in-the-Middle.......................................................................................................................................56
Attaques de type « zero-day »......................................................................................................................56
Enregistreur de frappe.................................................................................................................................56
Protection contre les cyberattaques.............................................................................................................57
Points d'accès non autorisés.........................................................................................................................57
Bluejacking et bluesnarfing.........................................................................................................................57
Les attaques WEP et WPA...........................................................................................................................58
Une protection contre les attaques qui touchent les terminaux mobiles et sans fil..................................59
Cross-site scripting.......................................................................................................................................59
Injection de code...........................................................................................................................................59
Dépassement de la mémoire tampon...........................................................................................................60
Exécution de code à distance.......................................................................................................................60
Contrôles ActiveX et Java............................................................................................................................61
Une protection contre les attaques via des applications.............................................................................61
Chapitre 4 : L'art de protéger des secrets..................................................................................................62
Qu'est-ce que la cryptographie ?.................................................................................................................62
L'histoire de la cryptographie.....................................................................................................................63
Création d'un texte crypté...........................................................................................................................65
Deux types de chiffrement............................................................................................................................67
Processus de chiffrement symétrique..........................................................................................................68
Les types de cryptographie..........................................................................................................................69
Algorithmes de chiffrement symétriques....................................................................................................71
Processus de chiffrement asymétrique........................................................................................................72
Algorithmes de chiffrement asymétriques..................................................................................................74
Gestion des clés.............................................................................................................................................74
Comparaison des types de chiffrement.......................................................................................................75
Applications..................................................................................................................................................76
Contrôles d'accès physiques.........................................................................................................................77
Contrôles d'accès logiques...........................................................................................................................78
Contrôles d'accès administratifs..................................................................................................................79
Contrôle d'accès obligatoire (MAC)............................................................................................................80
Contrôle d'accès discrétionnaire.................................................................................................................81
Contrôle d'accès basé sur les rôles..............................................................................................................81
Qu'est-ce que l'identification ?....................................................................................................................82
Contrôles d'identification.............................................................................................................................83
Un élément que vous savez...........................................................................................................................83
Un élément que vous possédez.....................................................................................................................83
Un élément qui vous définit.........................................................................................................................84
Authentification multifacteur......................................................................................................................84
Qu'est-ce que l'autorisation ?......................................................................................................................85
Utilisation de l'autorisation..........................................................................................................................86
Qu'est-ce que la traçabilité ?.......................................................................................................................86
Mise en œuvre de la traçabilité....................................................................................................................86
Techniques de masquage de données..........................................................................................................87
Qu'est-ce que la stéganographie ?...............................................................................................................87
Techniques de stéganographie.....................................................................................................................87
Obfuscation...................................................................................................................................................88
Applications..................................................................................................................................................88
Chapitre 1 : Cyber sécurité - Généralités
Pendant les années 1960, la plupart des hackers étaient des amateurs d'informatique, des
programmeurs et des étudiants. À l'origine, le terme hacker décrivait des individus ayant des
compétences avancées en programmation. Les hackers utilisaient ces compétences en
programmation pour tester les limites et les capacités des premiers systèmes. Ces hackers de
la première heure étaient également impliqués dans le développement des tout premiers jeux
informatiques. La plupart de ces jeux avaient pour thématique les magiciens et la magie.
À mesure que la culture du piratage a évolué, la lexicologie de ces jeux a été de plus en plus
présente. Même le monde extérieur commençait à utiliser l'image de puissants magiciens pour
faire référence à cette culture peu connue du piratage. Des livres tels que « Les sorciers du
Net : les origines de l'Internet », publié en 1996, n'ont fait qu'entretenir le mystère autour de
la culture du piratage. L'image et la lexicologie sont restées. Aujourd'hui, de nombreux
groupes de piratage ont adopté cette imagerie. L'un des groupes de hackers les plus tristement
célèbres se fait appeler Legion of Doom. Pour comprendre les criminels du monde virtuel et
leurs motivations, il est important de comprendre la cyberculture.
Sun Tzu était un philosophe et guerrier chinois au 6e siècle avant JC. Sun Tzu a écrit un livre
intitulé « L'art de la guerre ».Ce classique de la littérature présente différentes stratégies pour
vaincre l'ennemi. Ce livre a servi de référence aux tacticiens à travers les âges.
L'un des principes directeurs de Sun Tzu était l'importance de connaître son adversaire. Il
faisait certes référence à la guerre, mais une bonne partie de ses conseils peuvent être
appliqués à d'autres aspects du quotidien, notamment les challenges de la cybersécurité. Dans
ce chapitre, nous commençons par expliquer la structure du monde de la cybersécurité et les
raisons pour lesquelles il continue à se développer.
Dans ce chapitre, nous traitons également du rôle des cybercriminels et de leurs motivations.
Enfin, dans ce chapitre, nous expliquons comment devenir un spécialiste de la cybersécurité.
Ces cyberhéros mettent en échec les cybercriminels qui menacent le monde virtuel.
Présentation des acteurs

Le monde virtuel se compose de nombreux groupes de données. Les groupes capables de
collecter et d'utiliser des quantités massives de données gagnent en pouvoir et en influence.
Ces données peuvent se présenter sous forme de chiffres, d'images, de vidéos, de fichiers
audio ou tout autre type de données pouvant être numérisé. Ces groupes peuvent
potentiellement être si puissants qu'ils fonctionnent comme s'ils étaient des royaumes. Les
entreprises comme Google, Facebook et LinkedIn peuvent être considérées comme les
châteaux de données du royaume. Si l'on pousse plus loin l'analogie, les personnes qui
travaillent dans ces entreprises numériques peuvent être considérées comme des
cybermagiciens.
Un monde virtuel
Les cybermagiciens de Google ont créé l'un des premiers châteaux du royaume virtuel, mais
aussi l'un des plus puissants. Des milliards de personnes utilisent Google tous les jours pour
leurs recherches sur Internet. Google a sans doute créé le plus grand réseau mondial de
collecte de données. Google développe Android, les systèmes d'exploitation installés sur plus
de 80 % des terminaux mobiles connectés à Internet. Sur chaque appareil, les utilisateurs
doivent créer des comptes Google pour enregistrer leurs favoris et leurs informations de
compte, stocker les résultats de recherche et même localiser l'appareil. Chez Facebook, les
cybermagiciens ont fait en sorte que chaque jour des personnes créent des comptes pour
communiquer avec leur famille et leurs amis. Ce faisant, ils divulguent volontairement une
grande quantité de données personnelles. Les magiciens de Facebook ont construit un
immense château de données permettant aux personnes de se connecter d'une manière
auparavant inimaginable. Facebook influence quotidiennement des millions de vies et permet
aux entreprises et aux organisations de communiquer de manière plus personnelle et plus
ciblée avec ces personnes.
LinkedIn est un autre château de données du royaume virtuel. Les cybermagiciens de

LinkedIn ont fait en sorte que leurs membres puissent partager des informations en vue de
créer un réseau professionnel. Les utilisateurs de LinkedIn chargent des informations pour
créer des profils en ligne et se connecter avec d'autres membres. LinkedIn connecte les
employés avec des employeurs et les entreprises avec d'autres entreprises partout dans le
monde.
Il suffit de s'approcher de plus près pour voir comment ces châteaux sont construits.
Fondamentalement, ces châteaux tirent leur force de leur capacité à collecter les données des
utilisateurs avec leur consentement. Ces données incluent souvent les parcours des
utilisateurs, leurs discussions, leurs mentions « j'aime », leurs géolocalisations, leurs voyages,
leurs intérêts, leurs amis et les membres de leurs familles, leurs professions, leurs passe-
temps, et leurs projets professionnels et personnels. Les cybermagiciens créent une formidable
valeur ajoutée pour les entreprises souhaitant utiliser ces données pour mieux comprendre et
communiquer avec leurs clients et leurs collaborateurs.
Croissance d’un monde virtuel
Les données collectées dans le monde virtuel vont bien au-delà de celles fournies
volontairement par les utilisateurs. Le royaume virtuel croît en même temps que les sciences
et les technologies évoluent, permettant aux cybermagiciens de collecter d'autres formes de
données. Les cybermagiciens disposent désormais d'une technologie capable d'assurer le suivi
des tendances météorologiques dans le monde entier, de surveiller les océans et d'analyser le
déplacement et le comportement des personnes, des animaux et des objets en temps réel.
De nouvelles technologies, comme GIS (Geospatial Information Systems) et l'Internet of

Everything (IoE), ont fait leur apparition. Ces nouvelles technologies permettent d'identifier
les types d'arbres dans un quartier et de localiser très rapidement des véhicules, des appareils,
des individus et des matériels. Ce type d'information permet d'économiser de l'énergie,
améliorer l'efficacité des systèmes et réduire les risques de sécurité. Chacune de ces
technologies contribue également à l'expansion continue de la quantité de données collectées,
analysées et utilisées pour comprendre le monde. Les données collectées par les technologies
GIS et IoE poseront à l'avenir un vrai défi aux professionnels de la sécurité. Le type de
données générées par ces appareils peut potentiellement permettre aux cybercriminels
d'accéder aux aspects très intimes de la vie quotidienne des individus.
Qui sont les cybercriminels ?
Au début de la cybersécurité, les cybercriminels étaient généralement des adolescents ou des
amateurs agissant depuis leur ordinateur à domicile, et les attaques se limitaient à des canulars
et du vandalisme. Aujourd'hui, le monde des cybercriminels est devenu plus dangereux. Les
cybercriminels sont des individus ou des groupes qui tentent d'exploiter des vulnérabilités à
des fins personnelles ou financières. Tous les intéresse, des cartes de crédit aux conceptions
de produits et tout ce qui a de la valeur.
Amateurs : les amateurs, ou « script kiddies », ont peu ou pas de compétences. Ils utilisent
souvent des outils ou des instructions trouvés sur Internet pour lancer des attaques. Certains
sont simplement curieux, tandis que d'autres essaient de démontrer leurs compétences et
provoquent des dommages. Ils peuvent utiliser des outils basiques, mais le résultat peut quand
même être dévastateur.
Hackers : ce groupe de criminels s'introduit dans les ordinateurs et les réseaux. Leurs motifs
sont variés. Selon le type d'intrusion, les hackers sont classés dans l'une des trois catégories
suivantes : hackers au chapeau blanc, gris ou noir. Les hackers au chapeau blanc s'introduisent
dans les systèmes réseau et informatiques pour en découvrir les faiblesses et en améliorer la
sécurité. Les propriétaires du système leur donnent l'autorisation de s'y introduire et reçoivent
les résultats du test. D'un autre côté, les hackers au chapeau noir profitent de toute
vulnérabilité à des fins personnelles, financières ou politiques illégales. Les hackers au
chapeau gris se trouvent entre les Chapeaux noirs et les Chapeaux blancs. Parfois, les hackers
au chapeau gris détectent une vulnérabilité et en font part aux propriétaires du système si cela
s'intègre à leurs objectifs Mais certains hackers au chapeau gris publient leurs découvertes sur
Internet pour que d'autres hackers puissent les exploiter.
La figure propose des détails sur les termes pirates informatiques Chapeau blanc, pirate
informatique Chapeau noir et pirate informatique Chapeau gris.
Hackers organisés : ces criminels sont notamment des organisations de cybercriminels, des
hacktivistes, des terroristes et des hackers financés par des gouvernements. Les
cybercriminels sont généralement des groupes de criminels professionnels qui misent sur le
contrôle, le pouvoir et la richesse. Ils sont très expérimentés et organisés, et ils peuvent même
proposer leurs services dans le secteur du cybercrime. Les hacktivistes effectuent des
déclarations politiques pour sensibiliser sur les questions qui leur sont importantes. Les
hacktivistes rendent publiques des informations compromettantes sur leurs victimes. Les
agresseurs financés par des gouvernements rassemblent des renseignements ou commettent
des sabotages au nom de leurs gouvernements. Ces agresseurs sont généralement très
entraînés et disposent de fonds importants. Leurs attaques ciblent des objectifs spécifiques
présentant un avantage pour leur gouvernement. Certains hackers financés par des
gouvernements sont même membres des forces armées de leurs pays.
Pirates au chapeau blanc : Il s'agit de pirates éthiques qui utilisent leurs compétences en
matière de programmation à des fins bénéfiques, éthiques et légales. Les hackers en chapeau
blanc peuvent effectuer des tests de pénétration du réseau en utilisant leurs connaissances des
systèmes de sécurité informatique pour compromettre les réseaux et les systèmes afin de
découvrir les vulnérabilités des réseaux. Les vulnérabilités de sécurité sont signalées aux
développeurs afin qu'ils les corrigent avant qu'elles ne puissent être exploitées. Certaines
entreprises offrent des prix ou des récompenses aux hackers en chapeau blanc lorsqu'ils les
informent d'une vulnérabilité.
Pirates au chapeau gris : Il s'agit de personnes qui commettent des délits et dont l'éthique est
discutable, mais qui ne le font pas pour leur gain personnel ou pour causer des dommages. Ce
peut être par exemple une personne qui compromet un réseau sans autorisation, puis dévoile
publiquement la vulnérabilité. Les hackers au chapeau gris peuvent dévoiler une vulnérabilité
à l'entreprise affectée après avoir compromis son réseau. Cela permet à l'entreprise de
résoudre le problème.
Pirates au chapeau noir : Il s'agit de criminels malhonnêtes qui enfreignent la sécurité des
ordinateurs et des réseaux pour leur gain personnel ou à des fins malveillantes, telles que
l'attaque de réseaux. Les hackers en chapeau noir exploitent les vulnérabilités afin de
compromettre les systèmes informatiques et les réseaux.
Motivations des cybercriminels
Les profils et les motivations des cybercriminels ont changé au fil des ans. Le hacking a
commencé dans les années 1960 par le piratage téléphonique (phone freaking ou phreaking).
Cette pratique consistait à utiliser différentes fréquences audio pour manipuler les systèmes
téléphoniques. Dans le milieu des années 1980, les criminels utilisaient des modems
commutés pour connecter des ordinateurs à des réseaux et utilisaient des programmes de
piratage de mots de passe pour accéder aux données. Aujourd'hui, les criminels ne se
contentent plus de voler des informations. Les criminels utilisent maintenant les malwares et
les virus comme armes technologiques. Toutefois, la plus grande motivation de la plupart des
cybercriminels est financière. La cybercriminalité est devenue plus lucrative que le trafic de
stupéfiants.
Script Kiddies (hackers néophytes) : Ce terme est apparu dans les années 1990 et fait
référence aux adolescents ou aux hackers inexpérimentés exécutant des scripts, des outils ou
des exploits susceptibles de provoquer des dommages. Ils agissaient généralement sans
objectif de profit.
Hackers financés par les Etats : Selon les points de vue, il peut s'agir de hackers au chapeau
blanc ou au chapeau noir qui volent des secrets aux gouvernements, collectent des
renseignements et sabotent les réseaux. Ils ciblent généralement les gouvernements étrangers,
les groupes terroristes et les grandes entreprises.
Testeur de vulnérabilité : Il s'agit généralement de hackers au chapeau gris qui tentent de

découvrir les exploits et de les signaler aux fournisseurs, parfois en contrepartie d'un prix ou
d'une récompense.
Hacktivistes : Il s'agit de hackers au chapeau gris qui manifestent et contestent des idées
politiques et sociales différentes des leurs. Les hacktivistes protestent publiquement contre les
entreprises ou les gouvernements en publiant des articles et des vidéos, en divulguant des
informations sensibles et en lançant des attaques par déni de service distribué (DDoS).
Cybercriminels : Il s'agit de hackers au chapeau noir qui travaillent à leur compte ou pour de
grandes organisations de piratage informatique. Chaque année, les cybercriminels volent des
milliards de dollars auprès clients et d'entreprises.
Contrer les cybercriminels
Contrecarrer les plans des cybercriminels est une tâche difficile. Il n'existe pas de solution
« miracle ». Toutefois, les entreprises, les gouvernements et les organisations internationales
commencent à mener des actions coordonnées pour les limiter ou les contrer. Voici quelques
exemples d'actions coordonnées :
 Création de bases de données complètes des vulnérabilités connues des systèmes et

des signatures des attaques (organisation unique des informations permettant
d'identifier la tentative d'exploitation d'une vulnérabilité connue par un hacker). Les
entreprises partagent ces bases de données dans le monde entier pour se préparer aux
attaques courantes et les contrer.
 Mise en œuvre de capteurs d'alerte et de réseaux d'alerte. En raison du coût et de

l'incapacité à surveiller chaque réseau, les entreprises surveillent les cibles de choix ou
créent des impostures ressemblant à des cibles à haute valeur ajoutée. Ces cibles étant
plus susceptibles de subir des attaques, elles avertissent les autres d'attaques
potentielles.
 Partage d'informations relatives à la cybersécurité. Les entreprises, les organismes

publics et les pays collaborent désormais pour partager des informations essentielles
au sujet d'attaques graves sur des cibles critiques. Cela permet d'empêcher que des
attaques similaires touchent d'autres cibles. De nombreux pays ont créé des agences de
renseignement sur la cybersécurité pour collaborer à l'échelle mondiale en combattant
des cyberattaques de grande ampleur.
 Établissement de normes de gestion de la sécurité des informations au sein des

organisations nationales et internationales. La norme ISO 27000 est un bon exemple
de ces efforts au niveau international.
 Promulgation de nouvelles lois pour décourager les cyberattaques et les violations de

données. Ces lois prévoient des sanctions sévères à l'encontre des cybercriminels ayant
commis des actes illégaux.
La figure présente des mesures pour contrer les cybercriminels et une brève description de
chacune.
Les menaces
Les cybermagiciens sont des innovateurs et des visionnaires. Ce sont eux qui construisent le
royaume de la cybersécurité. Ils connaissent la puissance des données et savent qu'il faut
exploiter cette puissance pour créer de grandes entreprises, fournir des services et protéger les
utilisateurs contre les cyberattaques. Ils sont conscients de la menace représentée par les
données lorsqu'elles sont utilisées contre des individus.
Les menaces et les vulnérabilités sont leurs principales préoccupations. Une menace est la
possibilité qu'un événement nuisible, tel qu'une attaque, survienne. Une vulnérabilité est une
faiblesse qui rend une cible susceptible d'être attaquée. Par exemple, entre de mauvaises
mains, les données peuvent être responsables de la divulgation de l'identité de leur
propriétaire, porter atteinte à leur crédit ou mettre leur carrière ou leurs relations personnelles
en péril. Le vol d'identité n'a rien d'anodin. Toutefois, ce ne sont pas forcément les comptes
Google et Facebook qui présentent les plus grands risques. Les écoles, les hôpitaux, les
institutions financières, les organismes publics, les lieux de travail et le commerce
électronique posent des risques encore plus grands. Les entreprises comme Google et
Facebook ont les ressources nécessaires pour recruter les meilleurs experts en cybersécurité
capables de protéger leur château. Plus les entreprises sont nombreuses à construire des
châteaux de données, plus le besoin en professionnels de la cybersécurité augmente. Les plus
petites entreprises et organisations se battent donc pour attirer les professionnels de la
cybersécurité restants. Les menaces de cybersécurité sont particulièrement dangereuses pour
certains secteurs d'activité et les données qu'ils gèrent.
Types de données personnelles

Dans les entreprises bien établies, on peut par exemple trouver les sources de données ci-
après.
Dossiers médicaux
Chaque fois que vous vous rendez chez le médecin, il ajoute des informations
supplémentaires à votre dossier de santé électronique (DSE). La prescription du médecin
traitant est enregistrée dans le DSE. Un DSE inclut des informations sur la santé physique, la
santé mentale et d'autres informations personnelles qui pourraient ne pas concerner la santé.
Par exemple, un individu peut avoir été suivi dans son enfance par un psychologue suite à des
changements majeurs dans sa famille. Cela est enregistré quelque part dans son dossier
médical. Parallèlement aux antécédents médicaux et aux informations personnelles, le DSE
peut également contenir des informations concernant la famille de la personne concernée.
Plusieurs lois encadrent la protection des dossiers des patients.
Les dispositifs médicaux, comme les bracelets de remise en forme, utilisent la plate-forme
cloud pour activer le transfert, le stockage et l'affichage sans fil de données cliniques telles
que la fréquence cardiaque, la pression artérielle et la glycémie. Ces dispositifs peuvent
générer une grande quantité de données cliniques pouvant être enregistrées dans un dossier
médical.
Dossiers scolaires
Les dossiers scolaires incluent des informations sur les cursus, les résultats aux tests, la
présence aux cours, les cours suivis, les récompenses, les diplômes délivrés et les rapports
disciplinaires. Ce dossier peut également contenir des coordonnées, des dossiers de santé et de
vaccination, ainsi que des dossiers scolaires particuliers, dont les programmes d'éducation
personnalisés (IEP).
Dossiers professionnels et financiers
Les informations professionnelles incluent les emplois et les performances passés. Les
dossiers professionnels peuvent également inclure des informations sur les salaires et les
assurances. Les dossiers financiers peuvent inclure des informations sur les revenus et les
dépenses. Les dossiers fiscaux peuvent comprendre des fiches de paie, des relevés bancaires,
des antécédents de crédit et d'autres informations bancaires.
La figure montre que vos données peuvent comprendre : des informations médicales, votre
emploi, des informations en ligne, votre identité, des données sur votre parcours scolaire, des
données financières et des données sur vos équipements informatiques.
Menaces contre les services

Les services sont identiques à ceux nécessaires au fonctionnement d'un réseau et d'Internet.
Ces services incluent le routage, l'adressage, l'affectation de noms et la gestion de bases de
données. Ces services sont également les cibles principales des cybercriminels.
Les criminels utilisent des outils d'interception des paquets pour capturer les flux de données
sur un réseau. Cela signifie que toutes les données sensibles, comme les noms d'utilisateurs,
les mots de passe et les numéros de carte bancaire, sont susceptibles d'être dérobées. Ces
outils surveillent et enregistrent toutes les informations qui transitent sur un réseau. Les
criminels peuvent aussi utiliser des appareils non autorisés, comme des points d'accès Wi-Fi
non protégés. Si un criminel installe un tel appareil près d'un lieu public, comme un café, les
personnes peu méfiantes qui se connectent permettent à l'analyseur de paquet de copier leurs
informations personnelles.
Le DNS (service de nom de domaine) convertit un nom de domaine comme

www.facebook.comen l'adresse IP numérique associée. Si un serveur DNS ne connaît pas
l'adresse IP, il la demande à un autre serveur DNS. Dans le cadre de l'usurpation DNS (ou
empoisonnement du cache DNS), le criminel introduit de fausses données dans le cache d'un
résolveur DNS. Ces attaques par empoisonnement exploitent une faiblesse du logiciel DNS
qui amène les serveurs DNS à rediriger le trafic d'un domaine spécifique vers l'ordinateur du
criminel, au lieu du propriétaire légitime du domaine.
Les paquets transportent les données sur un réseau ou sur Internet. La falsification de paquets
(ou injection de paquets) interfère avec une communication réseau établie en créant des
paquets qui semblent faire partie d'une communication. La falsification de paquets permet à
un hacker de perturber ou d'intercepter des paquets. Ce processus permet au hacker de pirater
une connexion autorisée ou refuse à un individu la capacité d'utiliser certains services réseau.
Les professionnels de la cybersécurité appellent cela une attaque « man-in-the-middle ».
Les exemples donnés ne font qu'effleurer les types de menaces pouvant être lancées contre les
services du royaume.
Les menaces ciblant les secteurs du monde

virtuel
Les secteurs du mode virtuel incluent les systèmes d'infrastructure, comme la fabrication,
l'énergie, les communications et le transport. Par exemple, le réseau électrique intelligent est
une amélioration du système de génération et de distribution de l'électricité. Le réseau
électrique transporte l'alimentation des générateurs centraux vers un grand nombre de clients.
Un réseau électrique intelligent utilise les informations pour créer un réseau avancé
automatisé de distribution de l'énergie. Les leaders mondiaux savent que la protection de leur
infrastructure est essentielle pour protéger leur économie.
Au cours des 10 dernières années, les cyberattaques comme Stuxnet ont prouvé qu'une telle
attaque pouvait parvenir à détruire ou interrompre des infrastructures critiques. Concrètement,
l'attaque Stuxnet a ciblé le système SCDA (Supervisory Control and Data Acquisition) utilisé
pour contrôler et surveiller les processus industriels. SCADA peut être intégré aux divers
processus industriels des systèmes de fabrication, de production, de distribution d'énergie et
de communication.
Une cyberattaque peut perturber ou interrompre les secteurs d'activité comme les
télécommunications, les transports ou les systèmes de génération et de distribution
d'électricité. Elle peut également mettre un coup d'arrêt au secteur des services financiers.
L'un des problèmes des environnements intégrant des systèmes SCADA est que les
concepteurs n'ont pas connecté ces systèmes à un environnement informatique classique et à
Internet. Par conséquent, ils n'ont pas correctement pris en compte la cybersécurité pendant la
phase de développement de ces systèmes. Comme les autres secteurs d'activité, les entreprises
qui utilisent des systèmes SCADA savent combien il est important de collecter des données
pour améliorer les opérations et diminuer les coûts. Elles utilisent donc généralement des
systèmes SCADA connectés à des systèmes informatiques classiques. Pourtant, cette
configuration augmente la vulnérabilité des secteurs d'activités utilisant des systèmes
SCADA.
Menaces internes et externes
Menaces internes pour la sécurité
Les attaques peuvent provenir de l'intérieur d'une entreprise ou de l'extérieur, comme illustré
sur la figure. Un utilisateur interne, par exemple un employé ou un partenaire contractuel,
peut accidentellement ou intentionnellement :
 mal gérer les données confidentielles ;
 menacer le fonctionnement des serveurs internes ou des périphériques de

l'infrastructure réseau ;
 faciliter les attaques venant de l'extérieur en connectant un support USB infecté dans
le système informatique de l'entreprise ;
 inviter accidentellement un malware dans le réseau par des e-mails ou des sites Web
malveillants.
Les menaces internes sont susceptibles d'entraîner des dégâts plus importants que les menaces
externes, car les utilisateurs internes disposent d'un accès direct au bâtiment et à l'équipement
de l'infrastructure. Les hackers internes connaissent généralement le réseau de l'entreprise, ses
ressources et ses données confidentielles. Ils connaissent aussi parfois les mesures de sécurité,
les politiques et les privilèges administratifs de niveau supérieur.
Menaces externes pour la sécurité
Les menaces externes provenant de hackers amateurs ou expérimentés tirent parti des
vulnérabilités des appareils réseau ou font appel à des techniques d'ingénierie sociale, comme
la supercherie, pour accéder aux données. Les attaques externes exploitent les faiblesses ou
les vulnérabilités pour accéder aux ressources internes.
Données traditionnelles
Les informations de l'entreprise incluent les informations personnelles, la propriété

intellectuelle et les données financières. Les informations personnelles incluent des dossiers
de candidature, des fiches de paie, des lettres d'offre, des contrats de travail et toute
information utilisée dans les prises de décisions sur l'embauche. La propriété intellectuelle,
comme les brevets, les marques déposées et les plans produits, permet à une entreprise d'avoir
un avantage économique sur ses concurrents. La propriété intellectuelle peut être considérée
comme un secret commercial ; la perdre serait désastreux pour l'avenir de l'entreprise. Les
données financières, dont les comptes de résultat, les bilans comptables et les tableaux de
trésorerie d'une entreprise, donnent un aperçu de la santé de l'entreprise.
Le graphique classe les différents types de cybercriminels. Les agresseurs de l'extérieur

incluent les agresseurs organisés comme les hacktivistes, les terroristes, ceux financés par des
gouvernements, les hackers tels que les chapeaux noirs, les chapeaux gris et les chapeaux
blancs, ainsi que les amateurs. À l'intérieur se trouvent les collaborateurs, les anciens
collaborateurs, les agents contractuels et les partenaires de confiance.
Les vulnérabilités des terminaux mobiles

Avant, les employés utilisaient les ordinateurs fournis par l'entreprise connectés au réseau
LAN de cette dernière. Les administrateurs surveillent et mettent à jour ces ordinateurs en
permanence pour répondre aux exigences de sécurité. De nos jours, les terminaux mobiles
comme les iPhone, les smartphones, les tablettes et les milliers d'autres appareils, remplacent
parfaitement les ordinateurs classiques ou viennent les compléter. De plus en plus de
personnes utilisent ces terminaux pour accéder aux informations de l'entreprise. La tendance
du BYOD (Bring Your Own Device) gagne du terrain. Or, comme il est impossible de gérer
et de mettre à jour de façon centralisée ces terminaux mobiles, les entreprises qui autorisent
leur utilisation sur leur réseau s'exposent à de grands risques.
L'émergence de l'Internet des objets

L'Internet des objets (IoT) est l'ensemble de technologies qui permettent de connecter divers
appareils à Internet. Combinée à l'avènement de l'IoT, l'évolution technologique modifie les
environnements commerciaux et grand public. Les technologies IoT permettent de connecter
des milliards d'appareils à Internet, notamment des appliances, des verrous, des moteurs et des
appareils de divertissement, pour n'en citer que quelques-uns. Cette technologie accroît le
volume de données à protéger. Les utilisateurs accèdent à ces appareils à distance, ce qui
augmente le nombre de réseaux à protéger.
Avec l'émergence de l'IoT, vous devez protéger et gérer encore plus de données. Toutes ces
connexions, associées à la l'augmentation de la capacité de stockage et aux services de
stockage via le cloud et la virtualisation, ont engendré une croissance exponentielle des
données. Cette expansion des données a créé un nouveau centre d'intérêt dans le domaine de
la technologie et de l'entreprise. C'est ce qu'on appelle le « Big Data ».
L'impact du Big Data

Le Big Data est la conséquence de grands ensembles de données complexes qui rendent les
applications classiques de traitement des données inadéquates. Le Big Data présente des
challenges et offre des opportunités s'articulant autour de trois dimensions :
 Le volume ou la quantité de données
 La vélocité ou la vitesse des données
 La variété ou la plage de types et de sources de données
Les exemples d'attaques ciblant de grandes entreprises ne manquent pas dans les journaux.
Les entreprises comme Target, Home Depot et PayPal subissent des attaques très médiatisées.
Par conséquent, les systèmes d'entreprise doivent être profondément remaniés : les solutions
de sécurité doivent être repensées et des mises à niveau substantielles des technologies et des
pratiques s'imposent. En outre, les gouvernements et les différents secteurs d'activités mettent
en œuvre davantage de réglementations et de règles qui exigent une meilleure protection des
données et l'application de contrôles de sécurité afin de protéger le Big Data.
Utilisation d'armes avancées

Les vulnérabilités logicielles reposent aujourd'hui sur les erreurs de programmation, les failles
de protocole ou les erreurs de configuration du système. Le cybercriminel n'a plus qu'à
exploiter l'une d'entre elles. Par exemple, une attaque commune consiste à configurer une
entrée dans le programme pour le saboter et l'empêcher de fonctionner correctement. Ce
dysfonctionnement crée une porte d'accès au programme qui provoque la fuite de données.
Aujourd'hui, les cyberattaques sont de plus en plus sophistiquées. Une menace persistante
avancée est un piratage informatique continu ciblant un objet spécifique qui reste indétecté.
Les criminels choisissent habituellement une attaque persistante avancée pour des raisons
économiques ou politiques. Une attaque persistante avancée se déroule sur une longue période
sans être détectée grâce à un malware sophistiqué.
Les attaques basées sur des algorithmes assurent le suivi des données autodéclarées du
système, comme la quantité d'énergie utilisée par un ordinateur, et les utilisent pour choisir
une cible ou lancer de fausses alertes. Les attaques algorithmiques peuvent également
désactiver un ordinateur en le forçant à utiliser sa mémoire ou en surchargeant son processeur.
Les attaques basées sur des algorithmes sont plus sournoises, car elles exploitent des
conceptions utilisées pour multiplier les économies d'énergie, diminuer les pannes du système
et améliorer l'efficacité.
Enfin, la nouvelle génération d'attaques choisit plus soigneusement ses victimes. Avant, les
attaques sélectionnaient des cibles faciles ou les victimes les plus vulnérables. Mais la
détection et l'isolation des cyberattaques étant de plus en plus efficaces, les cybercriminels
sont de plus en plus prudents. S'ils sont détectés trop tôt, les spécialistes de la cybersécurité
fermeront les grilles du château. En conséquence, la plupart des attaques les plus
sophistiquées ne sont lancées que si le hacker est en mesure de reproduire la signature d'objet
ciblée.
Une portée plus large et un effet domino

La gestion des identités fédérées se définit de la manière suivante : les utilisateurs de plusieurs
entreprises peuvent utiliser les mêmes informations d'identification pour accéder aux réseaux
de toutes les entreprises du groupe. En cas d'attaque, cette situation augmente sa portée et la
probabilité d'un effet domino.
L'identité fédérée relie l'identité électronique d'un sujet à plusieurs systèmes distincts de
gestion des identifications. Par exemple, un sujet peut se connecter à Yahoo! avec ses
informations d'identification Google ou Facebook. C'est un exemple de connexion sociale.
La gestion des identités fédérées a pour objectif de partager automatiquement les informations
d'identification à plus grande échelle. Du point de vue de l'utilisateur, cela implique une
connexion unique au web.
Il est impératif que les entreprises étudient de près les informations d'identification partagées
avec leurs partenaires. Les numéros de sécurité sociale, les noms et les adresses sont autant
d'informations que les voleurs d'identité peuvent dérober aux partenaires pour perpétrer une
fraude. Pour protéger les identités fédérées, il convient généralement de relier les autorisations
de connexion à un appareil autorisé.
Résumé
Au cours de ce chapitre, nous avons expliqué la structure de l'univers de la cybersécurité et
pourquoi il continue à gagner du terrain avec l'augmentation du nombre de données et
d'informations à protéger.
Nous vous avons également présenté le rôle des cybercriminels et leurs motivations. Nous
avons montré l'étendue des forces obscures liée aux transformations techniques toujours plus
nombreuses qui se déroulent partout dans le monde.
Enfin, nous avons expliqué comment devenir un spécialiste de la cybersécurité et lutter contre
les cybercriminels qui nourrissent les forces obscures. Nous avons détaillé quelles étaient les
ressources disponibles pour augmenter le nombre de héros. Nous avons démontré que les
cyberhéros doivent avoir les mêmes compétences que les cybercriminels.
Si vous souhaitez approfondir les concepts présentés dans ce chapitre, consultez la page
dédiée aux activités et aux ressources complémentaires dans la section relative aux ressources
destinées aux élèves.
Chapitre 2 : Le cube magique de la
cybersécurité
On appelle magiciens les professionnels de la cybersécurité qui veillent sur le cyberespace. À
l'instar des magiciens des contes fantastiques, les cybermagiciens ont pour mission de faire
régner le bien et de protéger les autres. John McCumber peut être considéré comme l'un des
premiers magiciens de la cybersécurité. Il a mis au point un modèle, appelé Cube de
McCumber, utilisé par les magiciens de la cybersécurité pour protéger le cyberespace. Le
Cube de McCumber ressemble à un Rubik's Cube.
La première dimension du cube magique de la cybersécurité comprend les trois principes de

la sécurité de l'information, que les professionnels de la cybersécurité désignent sous le nom
de « Triade CID ». La deuxième dimension identifie les trois états des informations ou des
données. La troisième dimension du cube identifie les « pouvoirs magiques » qui assurent la
protection du cyberespace. Il s'agit, en fait, des trois catégories de protections en matière de
cybersécurité.
Ce chapitre présente également le modèle de cybersécurité ISO. Ce modèle représente un

cadre international qui vise à standardiser la gestion des systèmes d'informations.
Les principes de la sécurité

La première dimension du cube magique de la cybersécurité identifie les objectifs à protéger
sur Internet. Les objectifs identifiés dans la première dimension constituent les principes
fondateurs du monde de la cybersécurité. Ces trois principes sont la confidentialité, l'intégrité
et la disponibilité. Ces principes permettent au magicien de la cybersécurité de cibler ses
efforts et d'établir des priorités dans les mesures à prendre pour assurer la protection de ses
ressources sur Internet.
Le principe de confidentialité consiste à empêcher la divulgation d'informations à des

personnes, des ressources ou des processus non autorisés. L'intégrité représente l'exactitude, la
cohérence et la fiabilité des données. Enfin, la disponibilité garantit l'accès aux informations
lorsque les utilisateurs autorisés en ont besoin. Souvenez-vous de ses principes avec les
initiales CID.
²
Confidentialité, l'intégrité et la disponibilité
Les états des données

Internet est constitué de données. La protection des données est donc la priorité des magiciens
de la cybersécurité. La deuxième dimension du cube magique de la cybersécurité porte sur les
problèmes liés à la protection des données sur Internet, quel que soit leur état. Les données
peuvent se présenter sous trois états différents :
 Données en transit
 Données au repos ou stockées
 Données en cours de traitement
Pour protéger le cyberespace, les professionnels de la cybersécurité doivent tenir compte de la

protection des données dans les trois états.
Dispositifs de protection en cybersécurité
La troisième dimension du cube magique de la cybersécurité définit les types de pouvoirs
auxquels un magicien de la cybersécurité peut avoir recours pour protéger le cyberespace. Les
professionnels de la cybersécurité doivent utiliser tous les pouvoirs dont ils disposent pour
protéger les données du cyberespace.
Le cube magique identifie les trois types de pouvoirs, ou armes, utilisés pour assurer leur
protection. Le premier type de pouvoir comprend les technologies, les appareils et les produits
disponibles pour protéger les systèmes d'information et repousser les cybercriminels. Les
professionnels de la cybersécurité sont connus pour maîtriser les outils technologiques mis à
leur disposition. Cependant, John McCumber leur rappelle que les outils technologiques seuls
ne suffisent pas pour mettre en échec les cybercriminels. En effet, ils doivent également ériger
de solides défenses en développant des politiques, des procédures et des directives permettant
aux citoyens du cyberespace de rester protégés et de respecter de bonnes pratiques
d'utilisation. Enfin, comme c'est le cas dans le monde de la magie, les citoyens du cyberespace
doivent en apprendre toujours plus sur leur monde et sur les dangers qui le menacent. Ils
doivent être assoiffés de connaissances, et établir une culture d'apprentissage et de prise de
conscience.
Le principe de confidentialité
Le principe confidentialité consiste à empêcher la divulgation d'informations à des personnes,
des ressources ou des processus non autorisés. Une autre expression utilisée pour la
confidentialité est le respect de la vie privée. Au sein des entreprises, l'accès est limité afin de
s'assurer que seuls les opérateurs autorisés peuvent utiliser les données ou d'autres ressources
réseau. Par exemple, un programmeur ne doit pas avoir accès aux informations personnelles
de tous les employés.
Les entreprises doivent former leurs collaborateurs sur les bonnes pratiques permettant de
préserver la confidentialité des informations sensibles afin de se protéger eux-mêmes et leur
entreprise contre des attaques. Diverses méthodes permettent de garantir la confidentialité des
données, notamment le chiffrement des données, l'authentification et le contrôle d'accès.
Protection de la vie privée

Les entreprises collectent de grandes quantités de données dont la majeure partie n'est pas
sensible, car elles sont accessibles publiquement, comme les noms et les numéros de
téléphone. Toutefois, parmi les données collectées, d'autres peuvent être sensibles. Les
informations sensibles sont protégées contre les accès non autorisés afin de protéger un
individu ou une entreprise. Il existe trois types d'informations sensibles :
 Celles qui permettent d'identifier une personne. La Figure 2 répertorie cette catégorie
de données.
 On parle d'informations commerciales pour désigner toutes les informations qui

présentent un risque pour l'entreprise si elles sont divulguées au public ou à un
concurrent. La Figure 3 répertorie cette catégorie de données.
 Les informations classifiées sont des informations qui appartiennent à un organisme

gouvernemental et qui sont classées en fonction de leur niveau de sensibilité. La
Figure 4 répertorie cette catégorie de données.
Figure 1 : aucune ; Figure 2 : les numéros de sécurité sociale, les dossiers médicaux, les
numéros de carte de crédit et les dossiers financiers sont des exemples d'informations
personnelles. Figure 3 : les secrets commerciaux, les projets d'acquisition, les données
financières et les informations client sont des exemples d'informations de l'entreprise
sensibles. Figure 4 : le gouvernement classe les données selon leur confidentialité : top secret,
secret, confidentiel, ou accès restreint.
Contrôle d'accès
Le contrôle d'accès définit plusieurs dispositifs de protection conçus pour interdire les accès
non autorisés à un ordinateur, un réseau, une base de données ou d'autres ressources de
données. Les concepts désignés par AAA correspondent à trois services de sécurité :
l'authentification, l'autorisation et la journalisation (Authentification,Authorization,
Accounting). Ces services fournissent le cadre principal pour le contrôle d'accès.
Le premier « A » désigne l'authentification. L'authentification vérifie l'identité d'un

utilisateur afin d'empêcher tout accès non autorisé. Les utilisateurs prouvent leur identité au
moyen d'un nom d'utilisateur ou d'un ID. Ils doivent, en outre, confirmer leur identité en
fournissant l'un des éléments suivants, comme illustré à la Figure 1 :
 Un élément qu'ils connaissent (comme un mot de passe)
 Une chose qu'ils possèdent (comme un jeton ou une carte)
 Un élément qui les caractérise (comme une empreinte digitale)
Par exemple, pour retirer de l'argent à un guichet automatique, vous avez besoin de votre carte
de crédit (c'est-à-dire une chose que vous possédez) et vous devez connaître votre code secret.
Il s'agit également d'un exemple d'authentification multifacteur, en ce sens qu'elle nécessite
plusieurs types d'authentification. La forme d'authentification la plus répandue est l'utilisation
de mots de passe.
Les services d'autorisation identifient les ressources auxquelles les utilisateurs peuvent
accéder, ainsi que les opérations qu'ils peuvent effectuer (comme le montre la Figure 2). Pour
ce faire, certains systèmes utilisent une liste de contrôle d'accès ou ACL. Cette liste détermine
si, une fois authentifié, un utilisateur dispose de certains privilèges d'accès. Le fait que vous
puissiez vous connecter au réseau d'entreprise ne signifie pas nécessairement que vous êtes
autorisé à utiliser l'imprimante couleur haut débit. L'autorisation permet également de
contrôler les périodes au cours desquelles un utilisateur peut accéder à une ressource
spécifique. Par exemple, il est possible que les employés puissent accéder à une base de
données des ventes pendant les heures de travail, mais que cet accès leur soit interdit en
dehors des heures de bureau.
La journalisation consiste à suivre les actions des utilisateurs : les éléments auxquels ils
accèdent, le temps d'accès aux ressources, les modifications effectuées. Une banque, par
exemple, opère ce type de contrôle pour chaque compte client. Un audit de ce système peut
révéler l'heure et le montant de toutes les transactions, ainsi que l'employé ou le système
responsable de leur exécution. Dans le domaine de la cybersécurité, les services de
journalisation adoptent un fonctionnement identique. Le système effectue le suivi de chaque
transaction de données et fournit des résultats d'audit. Un administrateur peut configurer des
politiques informatiques, comme illustré à la figure 3, pour activer l'audit du système.
Le concept désigné par les initiales anglaises AAA (Authentication, Authorization,

Accounting) est semblable à l'utilisation d'une carte de crédit, comme le montre la Figure 4.
La carte de crédit identifie qui est autorisé à l'utiliser, combien cet utilisateur peut dépenser et
tient une comptabilité des achats de l'utilisateur.
Dans le domaine de la cybersécurité, le suivi et le contrôle s'effectuent en temps réel. Des

sites web, tels que Norse, montrent les attaques en temps réel sur la base des données
collectées dans le cadre d'un système de suivi ou de journalisation. Cliquez ici pour consulter
le site web de suivi en temps réel Norse.
Figure 1 :
Figure 2 : la Figure 2 montre qu'une fois que JohnS s'est correctement authentifié sur un
système, il dispose d'autorisations de lecture, d'écriture et d'exécution sur File01 et File02.
Figure 3 : Traçabilité
Figure 4 :
Principe de l'intégrité des données

L'intégrité représente l'exactitude, la cohérence et la fiabilité des données pendant tout leur
cycle de vie. Un autre terme utilisé pour l'intégrité est la qualité. Les données font l'objet de
nombreuses opérations telles que la capture, le stockage, la récupération, la mise à jour et le
transfert. Cependant, elles ne doivent, à aucun moment, être altérées par des entités
non autorisées.
Les méthodes utilisées pour assurer l'intégrité des données comprennent le calcul de hashs, les
contrôles de validité des données et les contrôles d'accès. Les systèmes d'intégrité des données
peuvent inclure une ou plusieurs des méthodes répertoriées ci-dessus.
Importance de l'intégrité des données

L'intégrité des données est une composante fondamentale de la sécurité de l'information.
L'importance de l'intégrité des données varie selon l'utilisation qu'une entreprise fait de ces
données. Par exemple, Facebook ne vérifie pas les données publiées par un utilisateur sur son
profil. Une banque ou une société financière attribuent une importance plus élevée à l'intégrité
de leurs données que Facebook. Les transactions et les comptes clients doivent être exacts.
Dans un établissement de santé, l'intégrité des données est une question de vie ou de mort !
Les informations de prescription ne tolèrent aucune approximation.
La protection de l'intégrité des données représente un défi permanent pour la plupart des
entreprises. La perte de l'intégrité des données peut rendre des ressources de données entières
non fiables, voire inutilisables.
Les besoins en matière d'intégrité des données sont définis selon quatre classifications. Au
niveau critique figurent les services de santé et d'urgence, où toutes les données sont validées
et testées ; elles sont vérifiées et supposées fiables. Il s'agit par exemple des dossiers
médicaux ou financiers. Les informations de commerce électronique et d'analyse se situent à
un niveau élevé, car toutes les données sont validées ; elles sont vérifiées et supposées fiables.
Une base de données constitue un bon exemple de domaine dans lequel un haut niveau
d'intégrité des données est nécessaire. Les ventes en ligne et les moteurs de recherche
constituent un niveau intermédiaire, car peu de vérifications y sont effectuées et les données
ne sont pas totalement fiables. C'est le cas par exemple des données collectées via des
formulaires diffusés publiquement. Au niveau le plus bas figurent les blogs et les sites
personnels, dans lesquels les données ne sont pas forcément vérifiées, ce qui les rend peu
fiables. Cette catégorie comprend les sites d'expression d'opinion publique et de contribution
ouverte.
Vérification de l'intégrité
Une vérification de l'intégrité permet de mesurer la cohérence d'un ensemble de données (un
fichier, une image ou un enregistrement). Le processus de vérification de l'intégrité consiste à
exécuter une opération appelée fonction de hash pour enregistrer l'état des données à un
moment précis. Le processus de vérification de l'intégrité utilise cet instantané pour s'assurer
que les données ne subissent aucune altération.
Une somme de contrôle est un exemple de fonction hash. Elle vérifie l'intégrité des fichiers,
ou des chaînes de caractères, avant et après leur transfert d'un appareil vers un autre via un
réseau local ou Internet. Les sommes de contrôle convertissent simplement chaque élément
d'information en une valeur et calculent le total. Pour tester l'intégrité des données, le système
de réception répète cette opération. Si les deux sommes sont égales, les données sont valides
(Figure 1). Dans le cas contraire, une modification s'est produite à un moment donné
(Figure 2).
Les fonctions hash courantes sont MD5, SHA-1, SHA-256 et SHA-512. Elles utilisent des
algorithmes mathématiques complexes. La valeur hachée est simplement présente pour
comparaison. Par exemple, après avoir téléchargé un fichier, l'utilisateur peut vérifier son
intégrité en comparant les valeurs de hash de la source avec celles générées par un calculateur
hash, quel qu'il soit.
Les entreprises ont recours au contrôle de version pour éviter toute modification accidentelle
de la part des utilisateurs autorisés. Un même objet ne peut pas être mis à jour par deux
utilisateurs. Les objets peuvent être des fichiers, des enregistrements de base de données ou
encore des transactions. Par exemple, le premier utilisateur à ouvrir un document est autorisé
à le modifier ; le deuxième dispose, lui, d'une version en lecture seule.
L'exécution rigoureuse de sauvegardes permet de préserver l'intégrité des données en cas de

corruption de ces dernières. L'entreprise doit vérifier sa procédure de sauvegarde pour en
garantir l'intégrité avant une perte de données.
L'autorisation détermine les personnes autorisées à accéder aux ressources d'une entreprise en
fonction de leurs besoins. Par exemple, les autorisations de fichiers et les contrôles d'accès
d'utilisateur font en sorte que seuls certains utilisateurs peuvent modifier les données. Un
administrateur peut définir les autorisations d'un fichier en lecture seule. Par conséquent, un
utilisateur qui y accède ne pourra y apporter aucune modification.
La Figure 1 fournit un diagramme de flux de la réussite du processus de somme de contrôle.

La Figure 2 fournit un diagramme de flux de l'échec du processus de somme de contrôle.
Le principe de disponibilité
On appelle disponibilité des données le principe selon lequel il est nécessaire d'assurer une
disponibilité en continu des systèmes et services d'information. Certains dysfonctionnements
et attaques peuvent empêcher l'accès aux systèmes et services d'information. Ainsi, pirater le
site web d'un concurrent pour le rendre indisponible peut être bénéfique à une entité rivale.
Ces attaques dites de déni de service (DoS) menacent la disponibilité du système et
empêchent les utilisateurs légitimes d'accéder aux informations et de les exploiter quand ils en
ont besoin.
Plusieurs méthodes existent pour garantir la disponibilité, notamment la redondance du

système, les sauvegardes système, la résilience renforcée du système, la maintenance des
équipements, la mise à jour des systèmes d'exploitation et des logiciels et l'élaboration de
plans de reprise après un incident.
Les attaques malveillantes, les défaillances des équipements et les catastrophes naturelles
constituent des menaces pour la disponibilité des données.
Les « cinq neuf »
Les utilisateurs se servent de divers systèmes d'information dans la vie de tous les jours.
Communications, transports, fabrication de produits… L'informatique est aujourd'hui présente
à tous les niveaux ! La disponibilité continue des systèmes d'information est donc cruciale
dans le monde moderne. Le terme de haute disponibilité décrit des systèmes conçus pour
éviter les interruptions. Ce concept garantit un niveau de performances sur une période plus
longue que la normale. Les systèmes à haute disponibilité répondent en général à ces trois
principes de conception (Figure 1) :
 Supprimer les points de défaillance uniques
 Fournir des solutions de substitution fiables
 Détecter les défaillances avant qu'elles ne surviennent
L'objectif est de garantir la continuité des activités, même dans des conditions extrêmes ;
pendant une attaque, par exemple. Le concept des « cinq neuf » constitue l'une des pratiques
de haute disponibilité les plus courantes. Ces cinq neuf correspondent à 99,999 %, soit un
temps d'interruption inférieur à 5,26 minutes par an. La Figure 2 illustre 3 méthodes mises en
œuvre pour atteindre les « cinq neuf ».
Figure 1 : pour éliminer les points de défaillance uniques, identifiez tous les équipements et
composants d'un système dont la défaillance entraînerait une panne. Les équipements de
secours à chaud, les composants redondants et les connexions ou chemins multiples
constituent des méthodes permettant d'éliminer les points de défaillance uniques. Pour assurer
un transfert fiable, utilisez des alimentations redondantes, des systèmes d'alimentation de
secours et des systèmes de communication de secours. La surveillance active des équipements
et des systèmes détecte de nombreux types d'événements, y compris les défaillances du
système ou des équipements. Les systèmes de surveillance peuvent même déclencher le
système de secours en cas de défaillance. Figure 2 : la standardisation des systèmes permet
d'avoir des systèmes utilisant les mêmes composants. La maintenance des inventaires de
pièces est plus facile. Le remplacement de composants en cas d'urgence est possible. Les
systèmes à composants partagés sont conçus de façon telle qu'un système de secours peut
totalement remplacer celui qui est défaillant. Le regroupement en clusters de plusieurs
appareils permet d'offrir un service apparaissant comme une entité unique à l'utilisateur. Si
l'un des appareils est en panne, les autres restent disponibles.
Assurer la disponibilité
Les entreprises garantissent la disponibilité des informations grâce aux mesures suivantes :
 Maintenance des équipements
 Mise à jour du système d'exploitation et des logiciels
 Tests de sauvegarde
 Planification des sinistres
 Mise en œuvre des nouvelles technologies
 Surveillance des activités inhabituelles
 Tests de disponibilité
Une maintenance régulière des équipements peut conduire à une forte amélioration du temps
de bon fonctionnement du système. La maintenance comprend le remplacement des
composants, leur nettoyage et leur alignement. Les systèmes d'exploitation, les applications et
les logiciels modernes sont constamment mis à jour pour corriger les erreurs et éliminer les
vulnérabilités. Tous les systèmes, applications et logiciels doivent être mis à jour selon un
planning régulier. Les professionnels de la cybersécurité peuvent s'abonner à des alertes qui
annoncent les nouvelles mises à jour. La sauvegarde des données de l'entreprise, de
configuration et personnelles garantit la disponibilité du système. Les systèmes de sauvegarde
doivent également être testés afin de s'assurer qu'ils fonctionnent correctement et que les
données peuvent être récupérées en cas de perte. La planification des sinistres est un élément
essentiel pour accroître la disponibilité des systèmes. Les collaborateurs et les clients doivent
savoir comment réagir en cas de sinistre. L'équipe de cybersécurité doit s'exercer aux ripostes
et tester les systèmes de sauvegarde. Elle doit connaître les procédures de restauration des
systèmes stratégiques. La haute disponibilité exige une évaluation permanente et un test des
nouvelles technologies afin de contrecarrer les nouvelles menaces et attaques. Les
cybercriminels font appel aux derniers outils et astuces. Les informaticiens professionnels
doivent également utiliser les nouvelles technologies, produits et équipements. Une
surveillance permanente du système augmente sa disponibilité. La surveillance du journal des
événements, des alertes systèmes et des journaux d'accès procure au spécialiste de la
cybersécurité des informations en temps réel. Ces informations permettent d'identifier les
attaques après qu'elles se soient produites, tout en permettant aux professionnels de la
cybersécurité de les contrer lorsqu'elles surviennent. Tous les systèmes doivent faire l'objet
d'un test afin de détecter les vulnérabilités. Le test peut inclure l'analyse des ports, l'analyse
des vulnérabilités et les tests de pénétration.
Types de stockage des données

Les données stockées sont des données au repos. Cela signifie qu'un équipement de stockage
conserve les données lorsque celles-ci ne sont pas sollicitées par un utilisateur ou un
processus. L'équipement de stockage peut être local (terminal de type ordinateur) ou
centralisé (sur le réseau). Plusieurs options sont possibles pour le stockage de données.
Le stockage à connexion directe (DAS) est un mode de stockage connecté à un ordinateur. Un

disque dur ou une clé USB sont des exemples de stockages à connexion directe Par défaut, les
systèmes ne sont pas configurés pour le partage du stockage à connexion directe (DAS).
Un RAID (Redundant Array of Independent Disks) utilise plusieurs disques durs associés en
baie et pris en charge comme un disque unique par le système d'exploitation. Un RAID
permet de bénéficier d'une performance et d'une tolérance aux pannes améliorées.
Un stockage en réseau NAS est composé d'un terminal de stockage connecté à un réseau pour
permettre le stockage et la récupération de données depuis un emplacement centralisé par les
utilisateurs réseau autorisés. Les terminaux NAS sont flexibles et évolutifs, ce qui permet aux
administrateurs d'augmenter la capacité si nécessaire.
Une architecture de réseau de stockage SAN est un système de stockage basé sur le réseau.
Les systèmes SAN se connectent au réseau via des interfaces haut débit, ce qui leur permet de
gagner en performance et de relier plusieurs serveurs à un référentiel de stockage sur disque
centralisé.
Le stockage cloud est une option de stockage à distance qui utilise l'espace disponible auprès
d'un fournisseur de data center. Ce stockage est accessible à partir de n'importe quel
ordinateur avec accès à Internet. Google Drive, iCloud et Dropbox sont des exemples de
fournisseurs de stockage cloud.
Défis relatifs à la protection des données
stockées
Pour les entreprises, la protection des données stockées représente un défi de taille. Pour
améliorer le stockage, l'une des solutions consiste à automatiser et centraliser les sauvegardes
de données.
Le stockage à connexion directe (DAS) peut être l'un des types de stockage les plus difficiles
à gérer et à contrôler. Il est, en effet, vulnérable aux attaques malveillantes sur l'hôte local.
Les données stockées peuvent également inclure des données de sauvegarde. Les sauvegardes
peuvent être manuelles ou automatiques. Les entreprises doivent limiter les types de données
stockées sur un stockage à connexion directe (DAS). Les données essentielles, notamment, ne
doivent pas y être stockées.
Les systèmes de stockage réseau (RAID, SAN et NAS) sont plus sécurisés. Ce type de
stockage garantit de meilleures performances et une redondance accrue. Cependant, leur
configuration et leur gestion s'avèrent plus complexes. Ils gèrent également davantage de
données, ce qui fait courir un plus grand risque à l'entreprise en cas de panne de l'appareil. La
configuration, les tests et la surveillance sont les principaux défis que les entreprises doivent
relever avec les systèmes de stockage réseau.
Méthodes de transmission des données

Transmettre des données signifie envoyer des informations d'un appareil à un autre. Vous
pouvez transmettre des informations entre des appareils de bien des manières, notamment :
 Sneaker net : des supports amovibles sont utilisés pour déplacer physiquement des
données d'un ordinateur vers un autre.
 Réseaux filaires : les données sont transmises au moyen de câbles.
 Réseaux sans fil : les données sont transmises par le biais d'ondes radioélectriques.
Les entreprises ne parviendront jamais à éliminer le recours au « sneaker net ».
Les réseaux filaires sont composés de fils de cuivre et de câbles optiques. Ils desservent une
aire géographique limitée (réseaux locaux ou LAN) ou ils peuvent couvrir de grandes
distances (réseaux étendus ou WAN).
Les réseaux sans fil remplacent progressivement les réseaux filaires. Leur débit ne cesse
d'augmenter et ils sont capables de traiter plus de bande passante. Ces réseaux augmentent le
nombre d'utilisateurs invités équipés de terminaux mobiles sur les réseaux à domicile/de petits
bureaux et sur les réseaux d'entreprise.
Les réseaux filaires et sans fil utilisent tous deux des paquets ou unités de données. Le terme
« paquet » désigne une unité de données qui circule entre un point d'origine et un point de
destination sur le réseau. Les protocoles standard, comme IP (Internet Protocol) et HTTP
(HyperText Transfer Protocol), définissent la structure et la mise en forme des paquets de
données. Il s'agit de standards Open Source à la disposition du public. La protection de la
confidentialité, de l'intégrité et de la disponibilité des données transmises est l'une des tâches
les plus importantes qui incombent à un professionnel de la cybersécurité.
Défis relatifs à la protection des données en

transit
La protection des données transmises fait partie des tâches les plus ardues pour un
professionnel de la cybersécurité. Avec la croissance du nombre de terminaux mobiles et sans
fil, les professionnels de la cybersécurité doivent aujourd'hui protéger d'énormes quantités de
données transitant quotidiennement sur leur réseau. S'agissant de la protection de ces données,
les défis que doivent relever les professionnels de la cybersécurité sont multiples :
 Protection de la confidentialité des données : les cybercriminels peuvent capturer,

enregistrer et voler les données en transit. Les professionnels de la cybersécurité
doivent donc prendre les mesures adéquates pour contrer ces actions.
 Protection de l'intégrité des données : les cybercriminels peuvent intercepter et

altérer les données en transit. Les professionnels de la cybersécurité déploient des
systèmes d'intégrité des données qui testent l'intégrité et l'authenticité des données
transmises afin de contrer ces actions.
 Protection de la disponibilité des données : les cybercriminels peuvent utiliser des

appareils non autorisés pour interrompre la disponibilité des données. Un simple
terminal mobile peut faire office de point d'accès sans fil local et pousser, par la ruse,
les utilisateurs peu méfiants à s'y connecter. Les cybercriminels peuvent détourner une
connexion autorisée à un appareil ou un service protégé. Les professionnels de la
sécurité du réseau peuvent implémenter des systèmes d'authentification mutuelle pour
contrer ces actions. Ces systèmes exigent de l'utilisateur qu'il s'authentifie sur le
serveur et demandent à ce dernier de s'authentifier auprès de l'utilisateur.
Les contre-mesures employées pour protéger la confidentialité, l'intégrité et la disponibilité

des données en transit sont notamment les VPN, SSL, IPsec, le chiffrement/déchiffrement, le
hashing, la redondance et le serveur de secours.
Formes de calcul et de traitement des
données
Le troisième état des données correspond aux données en cours de traitement. Cela fait
référence aux données lors de la saisie initiale, de la modification, du calcul ou de la sortie.
La protection de l'intégrité des données commence lors de la saisie initiale des données. Les
entreprises collectent des données via différentes méthodes, comme la saisie manuelle,
l'analyse des formulaires, le chargement de fichiers et la collecte de données par capteurs.
Chacune de ces méthodes met potentiellement en péril l'intégrité des données. Des erreurs de
saisie de données et des capteurs système déconnectés, défaillants ou inutilisables sont des
exemples de corruption de données pouvant survenir pendant le processus de saisie. Un
mauvais étiquetage et des formats de données incorrects ou incompatibles en sont d'autres
exemples.
La modification des données fait référence à tout changement apporté aux données d'origine.
On peut citer, par exemple, la modification manuelle des données par les utilisateurs, le
traitement et la modification des données par les programmes ou encore les pannes matérielles
engendrant une modification des données. Les processus comme le codage/décodage, la
compression/décompression et le chiffrement/déchiffrement sont des exemples de
modification des données. Le code malveillant engendre également la corruption des données.
Une corruption des données se produit également lors du processus de sortie. La sortie des
données correspond à leur transmission vers des imprimantes, des dispositifs d'affichage
électronique ou directement vers d'autres appareils. L'exactitude des données en sortie est
essentielle, dans la mesure où elles fournissent des informations et influencent la prise de
décision. Voici quelques exemples de corruption de données en sortie : utilisation incorrecte
de séparateurs de données, configurations incorrectes des communications, erreur de
configuration des imprimantes…
Défis relatifs à la protection des données en

cours de traitement
Se prémunir contre la modification incorrecte de données en cours de traitement peut
également avoir des effets négatifs. Les erreurs logicielles sont, en effet, à l'origine de
nombreux incidents et sinistres. Ainsi, seulement deux semaines avant Noël, le prix des
articles proposés par certains partenaires commerciaux d'Amazon a été ramené à un centime.
Le problème a duré une heure. Plusieurs milliers d'acheteurs ont toutefois pu profiter de cette
offre exceptionnelle, ce qui a fait perdre beaucoup d'argent à la société. En 2016, le thermostat
Nest a connu un dysfonctionnement, laissant de ce fait les utilisateurs sans chauffage. Le
thermostat Nest est une technologie intelligente détenue par Google. Un petit « pépin »
logiciel aux conséquences glaçantes ! En fait, une mise à jour logicielle s'est mal passée,
entraînant la décharge forcée des piles de l'appareil, ce dernier étant alors incapable de réguler
la température. Par conséquent, les clients n'ont pas pu chauffer leur maison, ni avoir d'eau
chaude pendant l'un des week-ends les plus froids de l'année.
Pour protéger les données en cours de traitement, la conception des systèmes doit être
parfaitement étudiée. Les politiques et procédures conçues par les professionnels de la
cybersécurité prévoient que les systèmes soient testés, maintenus et mis à jour pour qu'ils
continuent de fonctionner avec un minimum d'erreurs.
Les contre-mesures servant à protéger la confidentialité, l'intégrité et la disponibilité des

données en cours de traitement comprennent le contrôle d'accès, la validation des données et
la duplication des données.
Des protections technologiques logicielles

Les protections logicielles englobent les programmes et les services qui protègent les
systèmes d'exploitation, les bases de données et les autres services exécutés sur les postes de
travail, les appareils portables et les serveurs. Les administrateurs mettent en place des
mesures ou des mécanismes de protection logiciels sur les différents hôtes ou serveurs.
Plusieurs technologies logicielles sont utilisées pour protéger les ressources d'une entreprise :
 Les pare-feu logiciels contrôlent l'accès à distance à un système. Les systèmes

d'exploitation intègrent généralement un pare-feu. Sinon, l'utilisateur peut en acheter
un ou le télécharger auprès d'un tiers.
 Les scanners réseau et les scanners de ports détectent et contrôlent les ports ouverts
sur un hôte ou un serveur.
 Les analyseurs de protocole, ou analyseurs de signature, sont des appareils qui

collectent et examinent le trafic réseau. Ils identifient les problèmes de performances,
détectent les erreurs de configuration, identifient les applications au comportement
suspect, établissent des modèles de trafic de référence et normaux, et résolvent les
problèmes de communication.
 Les scanners de vulnérabilité sont des programmes informatiques conçus pour évaluer
les faiblesses des ordinateurs ou des réseaux.
 Les systèmes de détection d'intrusion (IDS) basés sur l'hôte examinent l'activité sur les
systèmes hôtes uniquement. Ils génèrent des fichiers journaux et des messages
d'alarme lorsqu'ils détectent une activité inhabituelle. Un système qui stocke des
données sensibles ou qui fournit des services stratégiques est un bon candidat au titre
de système IDS basé sur l'hôte.
Plusieurs technologies matérielles sont utilisées pour protéger les ressources d'une entreprise :
 Les appliances de pare-feu bloquent le trafic indésirable. Les pare-feu intègrent des
règles qui définissent le trafic entrant et sortant autorisé sur le réseau.
 Les systèmes de détection d'intrusion (IDS) dédiés détectent les symptômes d'une
attaque ou d'un trafic inhabituel sur un réseau et envoient une alerte.
 Les systèmes de prévention des intrusions (IPS) détectent les symptômes d'une attaque
ou d'un trafic inhabituel sur un réseau, génèrent une alerte et prennent des mesures
correctives.
 Les services de filtrage du contenu contrôlent l'accès et la transmission de contenu

considéré comme choquant ou répréhensible.
Plusieurs technologies basées sur le réseau sont utilisées pour protéger les ressources de
l'entreprise :
 Le réseau privé virtuel (VPN) est un réseau virtuel sécurisé qui utilise le réseau
public (c'est-à-dire Internet). La sécurité d'un VPN dépend du chiffrement du contenu
du paquet entre les terminaux qui définissent le VPN.
 Le contrôle d'accès réseau (NAC) exige un ensemble de vérifications avant

d'autoriser un appareil à se connecter à un réseau. Parmi les contrôles courants, on
compte l'installation de mises à jour du système d'exploitation ou du logiciel antivirus.
 La sécurité du point d'accès sans fil inclut l'implémentation de l'authentification et

du chiffrement.
Les technologies dans le cloud déplacent la technologie de l'entreprise au fournisseur cloud.

Les trois principaux services de cloud computing sont les suivants :
 Le logiciel proposé comme un service (SaaS) permet aux utilisateurs d'accéder au
logiciel d'application et aux bases de données. Les fournisseurs cloud gèrent
l'infrastructure. Les utilisateurs stockent les données sur les serveurs du fournisseur
cloud.
 L'infrastructure en tant que service (IaaS) fournit des ressources informatiques

virtualisées sur Internet. Le fournisseur héberge le matériel, les logiciels, les serveurs
et les composants de stockage.
 La plate-forme proposée comme un service (PaaS) fournit l'accès aux services et

outils de développement utilisés pour la diffusion des applications.
Les fournisseurs de services cloud ont étendu ces options de manière à inclure l'IT en tant que
service (ITaaS), lequel fournit une prise en charge informatique pour les modèles de service
IaaS, PaaS et SaaS. Dans le modèle ITaaS, une entreprise charge le fournisseur de cloud de
réaliser des services individuels ou groupés.
Les fournisseurs de services cloud utilisent des appliances de sécurité virtuelles qui
s'exécutent à l'intérieur d'un environnement virtuel avec un système d'exploitation renforcé
prêt à l'emploi, exécuté sur du matériel virtualisé.
Politiques
Une politique de sécurité regroupe les différents objectifs de sécurité définis par l'entreprise.
Elle comprend des règles de comportement à l'intention des utilisateurs et des administrateurs,
et définit une configuration système requise. Ces objectifs, ces règles et ces exigences
assurent ensemble la sécurité du réseau, des données et des systèmes informatiques d'une
entreprise.
Une politique de sécurité exhaustive porte sur plusieurs points :
 Elle montre l'engagement de l'entreprise envers la sécurité.
 Elle définit les règles relatives au comportement attendu.
 Elle garantit la cohérence au niveau des opérations du système, de l'achat et de

l'utilisation de composants matériels et logiciels, ainsi que de la maintenance.
 Elle définit les conséquences juridiques des infractions.
 Elle garantit au personnel de sécurité le soutien de la direction.
Les politiques de sécurité informent les utilisateurs, le personnel et les dirigeants des
exigences de l'entreprise quant à la protection des ressources d'informations et technologiques.
Une politique de sécurité spécifie également les mécanismes requis pour répondre aux
exigences en matière de sécurité.
Comme illustré sur cette figure, une politique d'audit crée un fichier journal de sécurité utilise
de sécurité se compose généralement des éléments suivants :
 Politiques d'identification et d'authentification : elles spécifient les personnes

autorisées à accéder aux ressources réseau et décrivent les procédures de vérification.
 Politiques de mot de passe : elles garantissent que les mots de passe remplissent les
conditions minimales requises et sont changés régulièrement.
 Règles de bon usage : elles identifient les ressources réseau et l'utilisation considérées
comme acceptables par l'entreprise. Elles peuvent également identifier les
conséquences d'une infraction.
 Politiques d'accès à distance : elles indiquent la manière dont les utilisateurs distants
peuvent accéder à un réseau, ainsi que les ressources accessibles à distance.
 Politiques de maintenance du réseau : elles spécifient les procédures de mise à jour

des systèmes d'exploitation des appareils réseau et des applications.
 Politiques de gestion des incidents : elles décrivent la manière dont sont gérés les
incidents liés à la sécurité.
La règle d'utilisation acceptable est l'une des composantes les plus courantes de la politique de
sécurité. Cette règle définit les autorisations des utilisateurs au niveau des divers composants
système. La règle d'utilisation acceptable doit être aussi explicite que possible pour éviter tout
malentendu. Elle peut ainsi répertorier les sites web, groupes de discussion et autres
applications gourmandes en bande passante auxquels les utilisateurs ne peuvent pas accéder à
l'aide des ordinateurs ou du réseau de l'entreprise.
Domaines de la cybersécurité
ISO/IEC 27000 est une norme relative à la sécurité des informations publiée en 2005 et
révisée en 2013. ISO publie les normes ISO 27000. Même si les normes ne sont pas
obligatoires, la plupart des pays les utilisent comme cadre de facto lorsqu'ils mettent en place
leur solution de sécurité de l'information.
La famille de normes ISO 27000 décrit la mise en œuvre d'un système complet de gestion de
la protection des informations (ISMS). Un système ISMS comprend l'ensemble des contrôles
administratifs, techniques et opérationnels nécessaires pour préserver la sécurité des
informations au sein de l'entreprise. Le standard ISO 27000 est constitué de douze domaines
indépendants. Ces douze domaines permettent de regrouper de vastes ensembles
d'informations sous le terme commun de sécurité de l'information.
La structure du modèle de cybersécurité ISO diffère du modèle OSI, en ce sens qu'elle utilise
des domaines plutôt que des couches pour décrire les catégories de sécurité. Cela est dû au fait
que le modèle de cybersécurité ISO n'est pas une relation hiérarchique. Il s'agit d'un modèle
homologue dans lequel chaque domaine entretient une relation directe avec les autres
domaines. Le modèle de cybersécurité ISO 27000 présente de fortes similitudes avec le
modèle OSI. Il est donc vital que les magiciens de la cybersécurité maîtrisent ces deux
modèles pour être parfaitement efficaces.
Cliquez sur chaque domaine illustré pour en obtenir une brève description.
Les douze domaines servent de base commune au développement de normes de sécurité

d'entreprise et de pratiques de gestion de la sécurité efficaces. Ils contribuent également à
faciliter la communication entre les entreprises.
Chapitre 3 : menaces pour la cybersécurité,
vulnérabilités et attaques
Les magiciens de la cybersécurité se concentrent en priorité sur les menaces, les vulnérabilités
et les attaques. Une menace est la possibilité qu'un événement nuisible, tel qu'une attaque,
survienne. Une vulnérabilité est une faiblesse qui expose un système à une attaque. Une
attaque est l'exploitation délibérée d'une faiblesse découverte dans un système informatique
soit comme une cible spécifique, soit simplement comme un objectif inopiné. Différentes
raisons peuvent expliquer le choix d'une cible par un cybercriminel. Les cybercriminels
parviennent à leur fin en recherchant continuellement et en identifiant les systèmes qui
présentent des vulnérabilités manifestes. Ainsi, les systèmes sans correctifs ou les systèmes
dépourvus de protection antivirus et antispam sont des victimes toutes désignées.
Ce chapitre examine les attaques les plus courantes lancées par les cybercriminels. Les
cybermagiciens doivent bien comprendre le fonctionnement de chaque attaque, les faiblesses
qu'elle exploite et en quoi elle affecte la victime. La première partie de ce chapitre est
consacrée aux menaces que constituent les malwares et le code malveillant. Il sera ensuite
question des différents types de supercherie mis en œuvre dans le cadre de l'ingénierie sociale.
Une cyberattaque est une manœuvre offensive malveillante effectuée par les cybercriminels
pour cibler des systèmes informatiques, des réseaux d'ordinateurs ou d'autres appareils
informatiques. Les réseaux sans fil et filaires peuvent être la cible de ce type d'attaques.
Qu'est-ce qu'un malware ?

Le terme « malware » (ou programme malveillant) désigne un logiciel conçu pour perturber le
bon fonctionnement d'un ordinateur ou obtenir l'accès à des systèmes informatiques à l'insu ou
sans l'autorisation de l'utilisateur. Aujourd'hui, il est utilisé comme terme générique pour
décrire tout logiciel hostile ou intrusif. Les virus informatiques, vers, chevaux de Troie,
ransomwares, logiciels espions, logiciels publicitaires, scarewares et autres programmes
malveillants sont autant d'exemples de malwares. Dans certains cas, la détection d'un malware
ne pose aucun problème. Dans d'autres, en revanche, le malware peut être très discret et
pratiquement impossible à détecter.
Virus, vers et chevaux de Troie

Les cybercriminels ciblent les appareils des utilisateurs en y installant un malware. Cliquez
sur Lecture pour afficher une animation des trois types de malwares les plus courants.
Virus
Un virus est un code exécutable malveillant attaché à un autre fichier exécutable, tel qu'un
programme légitime. La plupart des virus doivent être lancés par l'utilisateur et peuvent
s'activer à une heure ou une date spécifique. Les trois modes de diffusion des virus
informatiques sont les suivants : supports amovibles, téléchargements effectués sur Internet et
pièces jointes dans un e-mail. Les virus peuvent être inoffensifs et afficher simplement une
image, ou ils peuvent être destructeurs, comme ceux qui modifient ou suppriment des
données. Pour éviter d'être détecté, un virus mute. Le simple fait d'ouvrir un fichier peut
déclencher un virus. Un virus de secteur d'amorçage, ou de système de fichiers, infecte les
clés USB et peut affecter le disque dur du système. L'exécution d'un programme spécifique
peut activer un virus de programme. Une fois actif, ce virus infecte généralement d'autres
programmes sur l'ordinateur qui l'héberge ou sur d'autres ordinateurs du réseau. Melissa est un
exemple célèbre de virus diffusé par e-mail. Melissa a touché des dizaines de milliers
d'utilisateurs et causé des dégâts estimés à 1,2 milliard de dollars. Cliquez ici pour en savoir
plus sur les virus.
Vers
Les vers sont des codes malveillants qui se répliquent en exploitant de façon indépendante les
vulnérabilités au sein des réseaux. Les vers ralentissent généralement les réseaux. Alors que le
virus nécessite un programme hôte pour s'exécuter, les vers peuvent fonctionner par eux-
mêmes. À l'exception de l'infection initiale, les vers n'ont plus besoin d'intervention
extérieure. Dès qu'un ver a infecté un hôte, il peut se répandre très rapidement sur le réseau.
Les vers partagent des modèles similaires. Ils s'activent par la présence d'une vulnérabilité, un
moyen pour eux de se propager et contiennent tous une charge utile.
Les vers sont responsables de certaines des attaques les plus dévastatrices sur Internet. En
2001, par exemple, le ver Code Red a frappé 658 serveurs. 19 heures plus tard, plus de
300 000 serveurs étaient infectés.
Cheval de Troie
Un cheval de Troie est un type de malware qui effectue des opérations malveillantes sous le
couvert d'une opération souhaitée ; jouer à un jeu en ligne, par exemple. Ce code malveillant
exploite les privilèges de l'utilisateur qui l'exécute. Un cheval de Troie est différent d'un virus
parce qu'il se lie à des fichiers non exécutables, comme des fichiers images, audio ou des
jeux.
Bombes logiques
Une bombe logique est un programme malveillant qui utilise un élément déclencheur pour
réveiller le code malveillant. Par exemple, il peut se déclencher à certaines dates ou heures,
lors de l'exécution d'autres programmes ou à la suppression d'un compte utilisateur. La bombe
logique reste inactive jusqu'à l'événement déclencheur. Après activation, elle implémente un
code malveillant qui endommage l'ordinateur. Une bombe logique peut saboter des
enregistrements de base de données, effacer des fichiers et attaquer des systèmes
d'exploitation ou des applications. Des cybermagiciens ont récemment découvert des bombes
logiques qui attaquent et détruisent les composants matériels d'un poste de travail ou d'un
serveur, tels que les ventilateurs, le processeur, la mémoire, les disques durs et les systèmes
d'alimentation. Les bombes logiques surchargent les appareils jusqu'à ce qu'ils surchauffent
ou tombent en panne.
Ransomware
Un ransomware prend en otage un système informatique, ou les données qu'il héberge, jusqu'à
ce que la victime verse une rançon. En général, le ransomware chiffre les données sur
l'ordinateur à l'aide d'une clé inconnue de l'utilisateur. Ce dernier doit alors verser une rançon
aux criminels pour lever la restriction.
D'autres versions de ransomware peuvent tirer parti des vulnérabilités spécifiques du système
pour le verrouiller. Un ransomware se propage sous la forme d'un cheval de Troie. Il est le
résultat d'un fichier téléchargé ou d'une faiblesse logicielle.
L'objectif poursuivi par le cybercriminel est toujours le versement d'une rançon par le biais
d'un système de paiement intraçable. Une fois le paiement effectué, le criminel fournit un
programme qui permet de déchiffrer les données ou envoie un code de déblocage. Cliquez ici
pour en savoir plus sur les ransomwares.
Portes dérobées et rootkits

Le terme « porte dérobée » fait référence au programme ou code introduit par un criminel qui
a infiltré un système. La porte dérobée contourne le système d'authentification normal utilisé
pour accéder à un système. NetBus et Back Orifice sont des programmes bien connus qui
permettent à des utilisateurs non autorisés d'accéder à distance à un système. L'objectif d'une
porte dérobée est de permettre aux cybercriminels d'accéder plus tard au système, même si
l'entreprise corrige la vulnérabilité utilisée initialement pour attaquer le système. En règle
générale, les cybercriminels font en sorte que des utilisateurs autorisés exécutent, à leur insu,
un cheval de Troie sur leur ordinateur afin d'installer une porte dérobée.
Un rootkit modifie le système d'exploitation pour créer une porte dérobée. Les agresseurs
utilisent ainsi la porte dérobée pour accéder à distance à l'ordinateur. La plupart des rootkits
profitent des vulnérabilités des logiciels pour effectuer une élévation de privilèges et modifier
les fichiers système. L'élévation des privilèges exploite les erreurs de programmation ou les
défauts de conception pour accorder au cybercriminel un accès élevé aux données et
ressources du réseau. Il est également fréquent que les rootkits modifient les investigations du
système et les outils de surveillance, ce qui rend très difficile leur détection. En cas d'infection
par un rootkit, l'utilisateur doit généralement nettoyer et réinstaller le système d'exploitation
du système.
Protection contre les malwares

Voici quelques outils et conseils permettant de se protéger contre toutes les formes de
malwares.
 Programme antivirus : la majorité des solutions antivirus détectent les formes de

malware les plus répandues. Cependant, les cybercriminels développent et déploient
chaque jour de nouvelles menaces. Pour disposer d'une solution antivirus efficace, il
faut donc veiller à ce que les signatures soient toujours à jour. Une signature est
semblable à une empreinte digitale. Elle identifie les caractéristiques d'un code
malveillant.
 Logiciels à jour : pour commettre leurs méfaits, de nombreuses formes de malwares

exploitent les vulnérabilités logicielles, tant au niveau du système d'exploitation que
des applications. Alors que les vulnérabilités du système d'exploitation étaient
autrefois la principale source de problèmes, les faiblesses au niveau des applications
présentent, aujourd'hui, le plus grand risque en matière de sécurité. Malheureusement,
force est de constater que les fournisseurs d'applications ne sont pas aussi réactifs que
les éditeurs de système d'exploitation pour proposer des correctifs.
Courrier indésirable
Des milliards de personnes utilisent des services de messagerie dans le monde entier. Ce
service étant l'un des plus populaires, il constitue l'une des plus grandes vulnérabilités des
utilisateurs et des entreprises. Un courrier indésirable (ou « spam ») est un e-mail non
sollicité. Dans la plupart des cas, le courrier indésirable est une forme de publicité. Toutefois,
un courrier indésirable peut comporter des liens malveillants, un malware ou un contenu
trompeur. L'objectif ultime est d'obtenir des informations sensibles, comme un numéro de
sécurité sociale ou de compte bancaire. Les courriers indésirables (ou spam) proviennent
généralement de plusieurs ordinateurs infectés par un virus ou un ver. Ces ordinateurs
envoient autant d'e-mails que possible.
Mais même avec ces fonctionnalités de sécurité, certains messages peuvent passer entre les
mailles du filet. Soyez vigilant et vérifiez les éléments suspects suivants :
 E-mail sans objet
 E-mail demandant des informations sur un compte
 E-mail contenant des mots mal orthographiés ou une ponctuation inhabituelle
 E-mail contenant des liens très longs ou difficiles à lire
 E-mail ayant l'apparence d'une correspondance émanant d'une entreprise connue
 E-mail demandant expressément à l'utilisateur d'ouvrir une pièce jointe
Cliquez ici pour en savoir plus sur le courrier indésirable.
Si un utilisateur reçoit un e-mail contenant un ou plusieurs de ces indicateurs, il doit s'abstenir

d'ouvrir le message et les éventuelles pièces jointes. La politique de messagerie d'une
entreprise exige généralement qu'un utilisateur qui reçoit ce type d'e-mail en informe le
personnel en charge de la cybersécurité. Pratiquement tous les fournisseurs de messagerie
filtrent le courrier indésirable. Malheureusement, ce type de courrier consomme de la bande
passante et le serveur du destinataire doit traiter le message.
Logiciel espion, logiciel publicitaire et
scareware
Un logiciel espion (ou spyware) est un logiciel qui permet à un cybercriminel d'obtenir des
informations sur les activités informatiques d'un utilisateur. Le logiciel espion inclut souvent
le suivi des activités, la collecte de frappes sur clavier et la capture des données. Afin de
contourner les mesures de sécurité, le logiciel espion modifie souvent les paramètres de
sécurité. Le logiciel espion se regroupe souvent avec des logiciels légitimes ou avec des
chevaux de Troie. De nombreux sites de partagiciels (ou sharewares) regorgent de logiciels
espions.
Un logiciel publicitaire affiche généralement des fenêtres publicitaires intempestives afin de

générer des revenus pour son développeur. Le malware analyse les centres d'intérêt des
utilisateurs surveillant les sites web visités. Il envoie ensuite des publicités contextuelles
relatives à ces sites. Certaines versions de logiciels installent automatiquement des logiciels
publicitaires. Certains sont conçus pour ne diffuser que des publicités, mais il est également
fréquent que d'autres soient associés à des logiciels espions.
Le scareware convainc l'utilisateur d'effectuer une action donnée en jouant sur la peur. Le
scareware crée des fenêtres contextuelles factices avec la même apparence que les boîtes de
dialogue du système d'exploitation. Ces fenêtres transmettent de faux messages indiquant que
le système est vulnérable ou a besoin de l'exécution d'un programme spécifique pour
reprendre un fonctionnement normal. En réalité, il n'existe aucune menace. Cependant, si
l'utilisateur cède à la pression et autorise le programme mentionné à s'exécuter, le malware
infecte son système.
Phishing
Le phishing est une forme de fraude. Les cybercriminels se servent des e-mails, de la
messagerie instantanée ou d'autres réseaux sociaux pour essayer de recueillir des
informations, comme les informations de connexion ou des informations relatives au compte
des utilisateurs, en se faisant passer pour une entité ou une personne fiable. Le phishing
consiste à envoyer un e-mail frauduleux comme s'il provenait d'une source de confiance
légitime. L'objectif du message est de piéger le destinataire pour qu'il installe un malware sur
son appareil ou partage des informations personnelles ou d'ordre financier. Un exemple
d'hameçonnage est un e-mail factice ayant l'apparence de celui envoyé par un magasin,
demandant à l'utilisateur de cliquer sur un lien pour demander un prix. Le lien peut diriger
vers un faux site demandant des informations personnelles, ou installer un virus.
L'hameçonnage ciblé est une attaque d'hameçonnage très ciblée. Même si le phishing et le
phishing ciblé utilisent tous les deux des e-mails pour atteindre les victimes, le phishing ciblé
personnalise les e-mails visant ainsi une personne spécifique. Le cybercriminel recherche les
intérêts de la cible avant d'envoyer l'e-mail. Par exemple, un cybercriminel apprend que la
cible s'intéresse aux voitures et qu'il recherchait un modèle spécifique de voiture. Le
cybercriminel rejoint le même forum de discussion sur les voitures où la cible est membre,
crée une fausse mise en vente de voiture et envoie un courrier électronique à la cible. L'e-mail
contient un lien vers les photos de la voiture. Lorsque l'utilisateur ciblé clique sur le lien, il
installe, à son insu, un malware sur son ordinateur.
Phishing vocal, phishing par SMS

(SMiShing), détournement de domaine et
whaling
Le phishing vocal (ou vishing) utilise la technologie de communication vocale. Les criminels
peuvent usurper l'identité de sources légitimes en passant des appels via la technologie VoIP
(voix sur IP). Les victimes peuvent également recevoir un message enregistré qui leur semble
légitime. Les criminels souhaitent obtenir des numéros de carte de crédit ou d'autres
informations afin de voler l'identité de la victime. Cette technique de phishing exploite la
confiance du public envers le réseau téléphonique.
Le SMiShing est un type de phishing qui utilise des messages texte (SMS) sur des téléphones
mobiles. Les criminels usurpent l'identité d'un contact légitime dans le but de gagner la
confiance de la victime. Une attaque de ce type consiste, par exemple, à envoyer un lien de
site web à la victime. Lorsque la victime consulte le site web en question, le malware est
installé sur son téléphone mobile.
Le détournement de domaine (ou pharming) consiste à attirer la victime sur un site web
maquillé de façon à ressembler à un site web légitime pour l'inciter, par la ruse, à saisir ses
informations d'identification.
Le whaling est une technique de phishing qui cible les « gros poissons », en l'occurrence les
dirigeants d'une entreprise. Les politiques et les célébrités peuvent également être la cible de
ces attaques.
Protection contre les attaques par e-mail et

via le navigateur
Il existe plusieurs méthodes pour lutter contre le courrier indésirable : filtrer les e-mails,
apprendre aux utilisateurs à se méfier des e-mails envoyés par des inconnus ou encore utiliser
des filtres d'hôte/serveur.
S'il est difficile d'éradiquer le spam, certaines méthodes permettent toutefois d'en limiter les
effets. Par exemple, la plupart des fournisseurs d'accès Internet filtrent le courrier indésirable
avant qu'il n'arrive dans la boîte de réception de l'utilisateur. De nombreux logiciels antivirus
et de messagerie procèdent à un filtrage automatique des e-mails. Cela signifie qu'ils détectent
et suppriment le courrier indésirable de la boîte de réception.
Les entreprises doivent également informer leurs employés des dangers que représentent les
pièces jointes aux e-mails, qui peuvent contenir un virus ou un ver informatique. Soyez
vigilant avec les pièces jointes des e-mails, même si les messages proviennent d'un contact de
confiance. Il se peut qu'un virus tente de se propager en utilisant l'ordinateur de l'expéditeur.
Analysez toujours les pièces jointes avec un programme antivirus avant de les ouvrir.
L'Anti-Phishing Working Group (APWG) est une association industrielle qui s'attache à
éliminer l'usurpation d'identité et la fraude dues au phishing et à l'usurpation d'adresse
électronique.
Veiller à la mise à jour des logiciels permet de s'assurer que le système dispose de tous les
correctifs de sécurité nécessaires pour éliminer les vulnérabilités connues.
Techniques d'ingénierie sociale

Les criminels qui s'adonnent à l'ingénierie sociale emploient différentes techniques. En voici
quelques exemples :
 Autorité : les gens obéissent plus facilement à un ordre lorsqu'il est donné par un
supérieur
 Intimidation : les criminels intimident leur victime pour la pousser à agir
 Consensus/preuve sociale : les gens agissent s'ils pensent que cela sera bien vu par la
communauté
 Rareté : les gens agissent lorsqu'ils pensent qu'un objet est disponible en quantité
limitée
 Urgence : les gens agissent lorsqu'ils pensent avoir peu de temps pour le faire
 Familiarité/lien : le criminel noue des liens avec la victime afin d'établir une relation
 Confiance : le criminel établit une relation de confiance avec la victime, ce qui peut
prendre davantage de temps
Cliquez sur chaque technique illustrée dans cette figure pour afficher un exemple.
Il appartient aux professionnels de la cybersécurité de sensibiliser le personnel de l'entreprise

aux techniques d'ingénierie sociale.
Espionnage par-dessus l'épaule (Shoulder

Surfing) et fouille de poubelles (Dumpster
Diving)
Un criminel observe un utilisateur par-dessus son épaule pour subtiliser des codes PIN, des
codes d'accès ou des numéros de carte de crédit. Un hacker peut se trouver à proximité de sa
victime ou utiliser des jumelles ou des caméras en circuit fermé pour l'espionner. C'est l'une
des raisons pour lesquelles l'écran d'un distributeur automatique n'est lisible que sous certains
angles. Ces types de protections rendent cette « pratique » beaucoup plus difficile.
« La poubelle de l'un est le coffre aux trésors de l'autre. » Cet adage prend tout son sens dans
le domaine du Dumpster Diving, une technique qui consiste à fouiller les poubelles d'une
cible pour voir les informations dont se débarrasse une entreprise. Pensez à sécuriser les
poubelles. Pour éliminer toute information sensible, vous devez recourir à la technique de
déchiquetage ou utiliser des sacs à brûler, c'est-à-dire des conteneurs dans lesquels sont placés
des documents sensibles ou classifiés en vue d'être incinérés.
Usurpation d'identité et canulars

L'usurpation d'identité est le fait de prendre l'identité d'une autre personne. Par exemple,
plusieurs contribuables se sont récemment fait piéger par une arnaque téléphonique. Un
hacker, qui se faisait passer pour un employé du service des impôts, affirmait aux victimes
qu'elles devaient de l'argent à l'État. Les victimes devaient effectuer le paiement
immédiatement par virement bancaire. En cas de non-paiement, l'imposteur menaçait ses
victimes d'une arrestation. Les cybercriminels peuvent également usurper une identité pour
attaquer d'autres personnes. Ils peuvent compromettre la crédibilité d'une personne en publiant
des messages sur un site web ou sur les réseaux sociaux.
Un canular est une forme d'imposture perpétrée dans l'intention de tromper celui qui en est la
cible. Un canular informatique, ou hoax, peut se révéler tout aussi perturbateur qu'une
véritable faille de sécurité. L'objectif du canular est de susciter une réaction de la part de
l'utilisateur, lui infligeant ainsi une peur inutile et provoquant chez lui un comportement
irrationnel. Les canulars se propagent par e-mail ou sur les réseaux sociaux. Cliquez ici pour
consulter un site web qui répertorie les canulars.
Passage en double et talonnage
On parle de passage en double (piggybacking) lorsqu'un criminel suit une personne autorisée
pour obtenir l'accès à un site sécurisé ou une zone d'accès restreinte. Pour ce faire, les
criminels peuvent procéder de différentes manières :
 Ils donnent l'impression d'être escortés par la personne autorisée.
 Ils se joignent à un groupe dont ils prétendent faire partie.
 Ils ciblent une victime qui néglige les règles en vigueur sur le site.
Le talonnage (tailgating) est un autre terme qui décrit la même pratique.
L'utilisation d'un sas constitue une excellente protection contre le piggybacking. La porte
donnant accès à la zone sécurisée ne s'ouvre, en effet, que lorsque la première porte a été
verrouillée.
Supercherie en ligne, par e-mail ou sur le

web
Transférer des canulars, des blagues, des vidéos comiques et des e-mails n'ayant aucun lien
avec les activités professionnelles sur le lieu de travail peut être contraire aux règles de bon
usage de l'entreprise et donner lieu à des sanctions disciplinaires.
Protection contre la supercherie

Les entreprises doivent encourager les mesures de sensibilisation aux techniques d'ingénierie
sociale et enseigner à leurs collaborateurs les mesures de prévention élémentaires, à savoir :
 Ne jamais divulguer des informations confidentielles ou des informations

d'identification à des inconnus, que ce soit par e-mail, par chat, par téléphone ou en
personne.
 Résister à l'envie de cliquer sur des liens et des e-mails proposant des offres
alléchantes.
 Rester attentif à tout téléchargement automatique ou suspect.
 Mettre en place des politiques et sensibiliser les employés.
 Lorsqu'il est question de sécurité, il est important de donner aux employés un

sentiment d'appartenance.
 Ne pas céder à la pression exercée par des inconnus.

Repérage
Cette technique s'apparente aux écoutes clandestines. Dans ce cas, les hackers examinent tout
le trafic réseau qui transite par leur carte réseau, que le trafic leur soit adressé ou non. Les
criminels interceptent ce trafic réseau à l'aide d'une application logicielle, d'un appareil ou des
deux. Comme vous pouvez le voir sur cette figure, cette technique peut observer tout le trafic
réseau ou cibler un protocole, un service, voire une chaîne de caractères spécifique, telle qu'un
nom de connexion ou un mot de passe. Certains analyseurs réseau (ou sniffers) observent tout
le trafic et le modifient intégralement ou en partie.
Le repérage présente également des bénéfices. Les administrateurs réseau peuvent utiliser des
sniffers pour analyser le trafic réseau, identifier les problèmes de bande passante et résoudre
d'autres problèmes affectant le réseau.
La sécurité physique est un facteur important pour empêcher l'introduction de sniffers sur le
réseau interne.
Mystification
La mystification est une attaque par usurpation d'identité qui tire parti d'une relation de
confiance entre deux systèmes. Si les deux systèmes acceptent l'authentification réalisée par
l'un d'eux, il est possible que l'utilisateur connecté à l'un des systèmes ne soit pas obligé de
s'authentifier une nouvelle fois pour accéder à l'autre système. Un hacker peut profiter de cette
situation en envoyant, à un système, un paquet qui semble provenir d'un système fiable. Le
relation de confiance étant établie, le système ciblé peut effectuer la tâche demandée sans
authentification.
Il existe de nombreux types d'attaques par mystification.
 On parle de mystification d'adresse MAC lorsqu'un ordinateur accepte des paquets de

données sur la base de l'adresse MAC d'un autre ordinateur.
 L'usurpation d'adresse IP est une technique qui consiste à envoyer des paquets IP à
partir d'une adresse source usurpée pour masquer sa propre identité.
 ARP (Address Resolution Protocol) est un protocole qui traduit les adresses IP en
adresses MAC pour transmettre des données. L'usurpation ARP envoie des messages
ARP mystifiés sur un réseau local afin de lier l'adresse MAC du criminel à l'adresse IP
d'un membre autorisé du réseau.
 Le système de noms de domaine (DNS) associe des noms de domaine à des

adresses IP. L'usurpation de serveur DNS est une technique qui modifie le serveur
DNS afin de réacheminer un nom de domaine spécifique vers une autre adresse IP
contrôlée par le criminel.
Man-in-the-Middle
Dans le cas d'une attaque man-in-the-middle (MitM), le hacker intercepte les communications
entre plusieurs ordinateurs pour voler les informations en transit sur le réseau. Le criminel
peut aussi choisir de manipuler des messages et de communiquer de fausses informations
entre les hôtes qui ne remarquent pas que les messages ont été modifiés. L'attaque MitM
permet à l'agresseur de prendre le contrôle d'un appareil à l'insu de son utilisateur.
Cliquez sur les étapes illustrées dans la figure pour comprendre les principes de base d'une
attaque MitM.
MitMo est une variante de l'attaque man-in-the-middle qui prend le contrôle d'un terminal
mobile. Le terminal mobile infecté envoie alors des informations sensibles sur l'utilisateur aux
hackers. ZeuS, un exemple d'exploit avec des fonctionnalités MitMo, permet aux pirates de
s'emparer discrètement des messages de vérification à 2 étapes envoyés aux utilisateurs. Par
exemple, lorsqu'un utilisateur configure un identifiant Apple, il est invité à fournir un numéro
de téléphone auquel sera envoyé un code de vérification temporaire par SMS afin de prouver
son identité. Les malwares espionnent ce type de communication et transmettent les
informations obtenues aux criminels.
Une attaque par réinsertion se produit lorsqu'un hacker intercepte une partie d'une
communication entre deux hôtes, puis retransmet le message capturé. Ce type d'attaque
contourne les mécanismes d'authentification.
Attaques de type « zero-day »

Une attaque de type zero-day, parfois appelée « menace de type zero-day », est une attaque
informatique qui tente d'exploiter les failles de sécurité logicielles confidentielles ou
inconnues de l'éditeur du logiciel. Le terme « heure zéro » désigne le moment où l'exploit est
détecté. Le temps que l'éditeur du logiciel développe et publie un correctif, le réseau est
vulnérable à des attaques, comme illustré ci-contre. La défense contre ces attaques exige des
professionnels de la sécurité réseau qu'ils adoptent une vision plus sophistiquée de
l'architecture réseau. Il n'est plus possible de contenir les intrusions au niveau de quelques
points du réseau.
Enregistreur de frappe
Un enregistreur de frappe est un logiciel qui enregistre ou consigne les saisies effectuées au
clavier par l'utilisateur du système. Les hackers peuvent implémenter des enregistreurs de
frappe via un logiciel installé sur un système informatique ou via du matériel connecté
physiquement à un ordinateur. Ils configurent le logiciel enregistreur de frappe de sorte qu'il
envoie le fichier journal par e-mail. Les frappes consignées dans le fichier journal divulguent
les noms d'utilisateur, les mots de passe, les sites web visités et d'autres informations
sensibles.
Les enregistreurs de frappe peuvent être des logiciels légitimes, disponibles dans le
commerce. Il arrive fréquemment que des parents achètent ce type de logiciel pour analyser le
comportement de leurs enfants sur le Net et les sites qu'ils ont consultés. De nombreux
logiciels anti-espions sont en mesure de détecter et de supprimer les enregistreurs de frappe
non autorisés. Bien que les enregistreurs de frappe soient des logiciels légaux, les criminels
les utilisent pour commettre des actes répréhensibles.
Protection contre les cyberattaques

Plusieurs mesures peuvent être prises en sein de l'entreprise pour se protéger contre divers
types d'attaques. Configurez les pare-feu de manière à éliminer tous les paquets envoyés
depuis l'extérieur du réseau, mais dont l'adresse indique qu'ils proviennent de l'intérieur du
réseau. Cela ne doit normalement pas se produire. Cela signifie qu'un cybercriminel a lancé
une attaque par mystification.
Pour éviter les attaques DoS et DDoS, assurez-vous que les correctifs et mises à niveau sont à
jour, répartissez la charge de travail entre les serveurs et bloquez les paquets ICMP (Internet
Control Message Protocol) externes à la frontière du réseau. Les appareils réseau utilisent des
paquets ICMP pour envoyer des messages d'erreur. La commande Ping, par exemple, utilise
des paquets ICMP pour vérifier qu'un appareil peut communiquer avec un autre sur le réseau.
Pour éviter d'être la cible d'une attaque par réinsertion, les systèmes peuvent chiffrer le trafic,
fournir une authentification cryptographique et insérer un horodatage dans chaque partie du
message. Cliquez ici pour en savoir plus sur les méthodes de protection contre les
cyberattaques.
Points d'accès non autorisés

Un point d'accès non autorisé est un point d'accès sans fil installé sur un réseau sécurisé sans
autorisation explicite. Un point d'accès non autorisé peut être configuré de deux manières.
Dans le premier cas, un employé bien intentionné essaie de se rendre utile en simplifiant la
connexion des terminaux mobiles. Dans le second cas, un criminel parvient à s'infiltrer dans
les locaux d'une entreprise et installe le point d'accès non autorisé. Aucune de ces actions
n'étant autorisée, l'entreprise est, dans les deux cas, exposée à un risque.
Un point d'accès non autorisé peut également faire référence au point d'accès d'un criminel.
Dans ce cas, le criminel configure le point d'accès en tant qu'appareil MitM pour intercepter
les informations de connexion des utilisateurs.
Dans le cas d'un phishing au point d'accès (ou attaque Evil Twin), l'intensité et la puissance du
signal du point d'accès du criminel sont améliorées, de sorte qu'il apparaisse comme une
meilleure option de connexion pour l'utilisateur. Une fois l'utilisateur connecté au point
d'accès frauduleux, les criminels peuvent analyser le trafic et mener des attaques MitM.
Bluejacking et bluesnarfing
Bluetooth est un protocole de faible puissance et de faible portée. La technologie Bluetooth
transmet des données au sein d'un réseau personnel (PAN). Elle est utilisée par des appareils
tels que des téléphones mobiles, des ordinateurs portables et des imprimantes. Plusieurs
versions du protocole Bluetooth ont déjà été publiées. Le Bluetooth se caractérise par sa
facilité de configuration ; aucune adresse réseau n'est ainsi nécessaire. Une procédure de
couplage est utilisée pour établir la connexion entre les appareils. Lors de cette procédure, les
deux appareils utilisent le même code d'accès.
Des vulnérabilités ont certes été mises au jour mais, en raison de la portée limitée de la
technologie Bluetooth, la victime et le hacker doivent se trouver à proximité l'un de l'autre.
 Bluejacking est un terme qui désigne l'envoi de messages non sollicités vers un autre
appareil Bluetooth. Une variante de cette technique consiste à envoyer une image
choquante.
 Dans le cas du bluesnarfing, le hacker copie les données de la victime depuis son
appareil. Il peut s'agir, par exemple, des e-mails et des listes de contacts.
Les attaques WEP et WPA

WEP (Wired Equivalent Privacy) est un protocole de sécurité conçu pour garantir à un réseau
sans fil (WLAN) le même niveau de sécurité qu'un réseau filaire. Des mesures de sécurité
physique contribuent à protéger un réseau LAN filaire. WEP cherche à proposer une
protection similaire pour les données transmises via le WLAN grâce au chiffrement.
WEP utilise une clé pour le chiffrement. Il n'existe aucune disposition concernant la gestion
des clés WEP, c'est pourquoi le nombre de personnes qui partagent une clé ne cesse
d'augmenter. Étant donné que tout le monde utilise la même clé, le criminel a accès à un plus
grand volume de trafic pour les attaques analytiques.
Le vecteur d'initialisation (IV), qui est l'un des composants du système cryptographique, pose
également quelques problèmes au protocole WEP :
 Il s'agit d'un champ de 24 bits, ce qui est trop peu.
 Il s'agit de texte en clair, ce qui signifie qu'il est lisible.
 Il est statique ; des flux de clés identiques se répètent donc sur un réseau chargé.
Le protocole WPA (Wi-Fi Protected Access) et, plus tard, le protocole WPA2 ont été publiés
en remplacement du protocole WEP. WPA2 ne pose pas les mêmes problèmes de chiffrement,
car un hacker ne peut pas récupérer la clé simplement en observant le trafic. WPA2 est
susceptible d'être attaqué parce que les cybercriminels peuvent analyser les paquets qui
transitent entre le point d'accès et un utilisateur légitime. Les cybercriminels utilisent un
analyseur de paquets, puis lancent les attaques hors ligne au niveau du mot de passe.
Une protection contre les attaques qui
touchent les terminaux mobiles et sans fil
Vous devez prendre plusieurs mesures pour vous protéger contre les attaques qui ciblent vos
terminaux mobiles et sans fil. La plupart des produits WLAN utilisent des paramètres par
défaut. Tirez parti des fonctionnalités basiques de sécurité sans fil, comme l'authentification et
le chiffrement, en modifiant les paramètres de configuration par défaut.
Limitez le placement des points d'accès en les positionnant en dehors du pare-feu ou dans une
zone démilitarisée (DMZ) qui contient d'autres terminaux non fiables, comme les serveurs
web et de messagerie.
Les outils WLAN comme NetStumbler peuvent détecter les postes de travail ou les points
d'accès non autorisés. Mettez en place une politique pour les connexions ponctuelles afin de
permettre à vos invités de se connecter à Internet sur votre réseau lors de leur visite. Pour les
collaborateurs autorisés, utilisez un réseau privé virtuel (VPN) accessible à distance pour
accéder au WLAN.
Cross-site scripting
Le cross-site scripting (XSS) est une vulnérabilité découverte dans les applications web. XSS
permet aux hackers d'injecter des scripts dans les pages web visionnées par les utilisateurs. Ce
script peut contenir du code malveillant.
Les scripts multisites nécessitent l'intervention de trois participants : le hacker, la victime et le

site web. Le cybercriminel ne cible pas directement une victime. Il exploite la vulnérabilité
d'un site ou d'une application web. Les hackers injectent des scripts côté client dans des pages
web visionnées par les utilisateurs, qui deviennent alors victimes. Le script malveillant est
transmis subrepticement au navigateur de l'utilisateur. Un script malveillant de ce type peut
accéder à des cookies, à des jetons de session ou à d'autres informations sensibles. Si les
criminels obtiennent le cookie de session de la victime, ils peuvent usurper son identité.
Injection de code
Une base de données permet de stocker des données sur un site web. Il existe plusieurs types
de bases de données, comme les bases de données SQL (Structured Query Language) ou
XML (Extensible Markup Language). Les attaques par injection de code XML et SQL tirent
profit des faiblesses d'un programme, comme l'absence d'une validation appropriée des
requêtes de bases de données.
Injection XML
Lors de l'utilisation d'une base de données XML, une injection XML désigne une attaque
susceptible de corrompre les données. Dès que l'utilisateur a saisi des informations, le système
accède aux données requises par le biais d'une requête. Le problème se produit lorsque le
système n'analyse pas correctement la demande de saisie fournie par l'utilisateur. Les
criminels peuvent programmer la requête pour l'adapter à leurs besoins et accéder aux
informations de la base de données.
Ils ont alors accès à toutes les données sensibles stockées dans la base de données et peuvent
apporter au site web toutes les modifications qu'ils désirent. Une attaque par injection de
XML menace la sécurité du site web.
Injection SQL
Les cybercriminels exploitent une vulnérabilité en insérant une instruction SQL malveillante
dans un champ de saisie. Ici encore, le système ne filtre pas correctement les informations
saisies par l'utilisateur à la recherche des caractères d'une instruction SQL. Les criminels
utilisent l'injection de code SQL sur des sites web ou sur toute base de données SQL.
Ils peuvent usurper une identité, modifier des données existantes, détruire des données ou bien
devenir les administrateurs du serveur de base de données.
Dépassement de la mémoire tampon

Un buffer overflow se produit lorsque des données dépassent les limites d'un tampon. Les
tampons sont des zones de mémoire affectées à une application. En modifiant les données au-
delà des limites d'une mémoire tampon, l'application accède à la mémoire allouée à d'autres
processus. Cela peut provoquer une panne du système, une compromission des données ou
permettre une élévation des privilèges.
Selon les estimations du CERT Coordination Center (CERT/CC) de l'université Carnegie-

Mellon, près de 50 % de tous les exploits de programmes informatiques trouvent leur origine
dans une forme quelconque de buffer overflow. La classification générique des
buffer overflows comprend de nombreuses variantes, telles que les dépassements de mémoire
tampon statique, les erreurs d'indexation, les bogues de chaîne de format, les différences de
taille de tampon Unicode et ANSI ou encore les dépassements de tas.
Exécution de code à distance

Les vulnérabilités permettent aux cybercriminels d'exécuter du code malveillant et de prendre
le contrôle d'un système avec les privilèges de l'utilisateur qui exécute l'application.
L'exécution de code à distance permet au cybercriminel de lancer la commande de son choix
sur une machine cible.
Prenons l'exemple de Metasploit, un outil conçu pour développer et exécuter du code

d'exploitation sur une cible distante. Meterpreter est un module d'exploitation intégré à
Metasploit qui fournit des fonctionnalités avancées. Il permet aux hackers d'écrire leurs
propres extensions sous la forme d'un objet partagé. Ils peuvent ainsi télécharger et injecter
ces fichiers dans un processus actif sur la cible. Meterpreter charge et exécute toutes les
extensions à partir de la mémoire, de sorte qu'elles ne mettent jamais à contribution le disque
dur. Cela signifie également que ces fichiers échappent à la détection des logiciels antivirus.
Meterpreter comprend un module permettant de contrôler la webcam d'un ordinateur distant.
Dès qu'un hacker a installé Meterpreter sur le système de sa victime, il peut voir et capturer
les images diffusées par la webcam.
Contrôles ActiveX et Java

Sur Internet, il est possible que certaines pages ne s'affichent pas correctement si aucun
contrôle ActiveX n'est installé. Les contrôles ActiveX dotent Internet Explorer de
fonctionnalités comparables à un plug-in. Les contrôles ActiveX sont des logiciels installés
par les utilisateurs pour étendre les fonctionnalités d'un programme. Certains contrôles
ActiveX créés par des tiers peuvent être malveillants. Ils surveillent les habitudes de
navigation de l'utilisateur, installent des malwares ou enregistrent les frappes. Les contrôles
ActiveX fonctionnent également dans d'autres applications Microsoft.
Java fonctionne par le biais d'un interprète, la machine virtuelle Java (JVM). JVM permet au
programme Java de fonctionner. JVM crée des sandboxes ou isole le code non fiable du reste
du système d'exploitation. Certaines vulnérabilités permettent au code non fiable de
contourner les restrictions imposées par la sandbox. Il existe également des vulnérabilités
dans la bibliothèque de classes Java qu'une application utilise pour sa sécurité. Java occupe la
deuxième place au classement des vulnérabilités de sécurité les plus sérieuses, juste derrière le
plug-in Flash d'Adobe.
Une protection contre les attaques via des

applications
La première ligne de défense contre une attaque qui cible une application consiste à écrire un
code robuste. Peu importe le langage utilisé ou la source de l'entrée externe, faites preuve de
prudence lors de la programmation et considérez toute entrée externe comme hostile. Vérifiez
toutes les entrées comme si elles étaient hostiles.
Mettez à jour tous les logiciels, notamment les systèmes d'exploitation et les applications et
n'ignorez pas les invites de mises à jour. Tous les programmes ne se mettent pas à jour
automatiquement. Sélectionnez, au minimum, l'option de mise à jour manuelle. Les mises à
jour manuelles permettent aux utilisateurs de voir exactement quelles mises à jour ont été
effectuées.
Chapitre 4 : L'art de protéger des secrets
Les principes de cryptologie décrivent la manière dont les algorithmes et protocoles modernes
sécurisent les communications. La cryptologie est la science de la création et du
déchiffrement des codes secrets. La cryptographie désigne le développement et l'utilisation de
codes. La cryptanalyse (ou analyse cryptographique) est la science qui étudie et déchiffre les
codes. La cryptographie est utilisée depuis de nombreux siècles pour protéger des documents
secrets. Jules César, par exemple, utilisait un chiffrement alphabétique simple pour crypter
(chiffrer) les messages envoyés à ses généraux sur le champ de bataille. Ces derniers devaient
connaître la clé de chiffrement nécessaire au décryptage du message. Les méthodes
cryptographiques utilisées de nos jours garantissent l'établissement de communications
sécurisées.
Comme son nom l'indique, le contrôle d'accès est une méthode permettant de contrôler l'accès
à un immeuble, une salle, un système, une base de données, un fichier ou des informations.
Diverses techniques de contrôle d'accès sont mises en œuvre au sein des entreprises pour
protéger la confidentialité. Ce chapitre se penche sur les quatre étapes de la procédure de
contrôle d'accès, à savoir : 1) l'identification, 2) l'authentification, 3) l'autorisation et 4) la
traçabilité. En outre, il passe en revue les différents modèles et types de contrôle d'accès.
Ce chapitre se termine en évoquant les divers moyens mis à la disposition des utilisateurs pour
dissimuler (ou masquer) des données. L'obfuscation et la stéganographie sont deux techniques
qui permettent de masquer des données.
Qu'est-ce que la cryptographie ?

La cryptologie est la science de la création et du déchiffrement des codes secrets. La
cryptographie est une méthode permettant de stocker et de transmettre des données, de sorte
que seul le destinataire désigné puisse les lire ou les traiter. La cryptographie moderne utilise
des algorithmes sécurisés pour s'assurer que les cybercriminels ne puissent pas facilement
compromettre des informations protégées.
La confidentialité des données garantit que seul le destinataire pourra lire le message. Pour ce
faire, les deux parties ont recours au chiffrement. Il s'agit d'un processus qui consiste à
brouiller les données afin de rendre leur lecture difficile par une partie non autorisée.
Lorsque vous activez le chiffrement, les données lisibles sont en texte clair, tandis que la
version chiffrée affiche du texte crypté. Le chiffrement convertit le message lisible en texte
clair en texte chiffré, qui est un message illisible. Le déchiffrement réalise le processus
inverse. Le chiffrement nécessite également une clé, laquelle joue un rôle essentiel dans le
cadre du chiffrement et du déchiffrement d'un message. La personne qui possède cette clé
peut déchiffrer le texte chiffré en texte clair (c'est-à-dire lisible).
À travers l'histoire, l'homme a utilisé divers algorithmes et méthodes de chiffrement. Un

algorithme est un processus ou une formule utilisé pour résoudre un problème. Jules César
aurait ainsi sécurisé ses messages en plaçant deux alphabets côte à côte, puis en décalant l'un
d'eux selon un nombre spécifique de positions. La longueur du décalage constituait alors la
clé. Il convertissait le texte en clair en texte crypté à l'aide de cette clé et seuls ses généraux,
qui possédaient également la clé, étaient en mesure de déchiffrer les messages. Cette méthode
est connue sous le nom de chiffre de César ou de chiffrement par décalage. Cette figure
illustre un message secret codé à l'aide du chiffre de César.
L'histoire de la cryptographie
La cryptographie a vu le jour dans les cercles diplomatiques il y a plusieurs milliers d'années.
Les messagers de la cour d'un roi amenaient des messages cryptés à d'autres cours. Il arrivait
que d'autres cours, qui n'étaient pas impliquées dans la communication, essayent de voler les
messages envoyés à un royaume qu'ils considéraient comme leur adversaire. Peu de temps
après, les chefs militaires ont commencé à utiliser le chiffrement pour protéger leurs
messages.
Au fil des siècles, diverses méthodes de chiffrement, procédés physiques et appareils ont été
utilisés pour chiffrer et déchiffrer des messages :
 Scytale
 Chiffre de César
 Chiffre de Vigenère
 Machine Enigma
Toutes les méthodes de chiffrement utilisent une clé pour chiffrer ou déchiffrer un message.
Cette clé est une composante importante de l'algorithme de chiffrement. L'efficacité d'un
algorithme de chiffrement dépend de la clé utilisée. Plus la clé est complexe, plus l'algorithme
est sécurisé. La gestion des clés est un facteur essentiel du processus.
Création d'un texte crypté

Chaque méthode de chiffrement utilise un algorithme spécial, appelé code, pour chiffrer et
déchiffrer les messages. Cet algorithme se compose d'une série d'étapes bien définies qui
permettent de chiffrer et de déchiffrer des messages. Il existe plusieurs méthodes pour créer
du texte chiffré :
 Transposition : l'ordre des lettres est modifié
 Substitution : les lettres sont remplacées par d'autres lettres

 Masque jetable : la combinaison du texte en clair et d'une clé secrète crée un caractère,
lequel est ensuite combiné au texte en clair pour produire le texte chiffré
Dans le cas des anciens algorithmes de chiffrement, tels que le chiffre de César et la machine
Enigma, il était essentiel que l'algorithme reste secret pour garantir la confidentialité des
données. Avec la technologie moderne, l'ingénierie inverse est généralement simple à mettre
en œuvre. Les parties utilisent donc des algorithmes du domaine public. Avec les algorithmes
les plus récents, il est obligatoire de connaître les clés cryptographiques appropriées pour
parvenir à déchiffrer un message. Cela signifie que la sécurité du chiffrement dépend de la
confidentialité de la clé, et non de l'algorithme.
Certains algorithmes de chiffrement modernes ont toujours recours à la transposition.
La gestion des clés est la partie la plus difficile de la conception d'un système de
cryptographie. De nombreux systèmes de cryptographie ont échoué en raison d'erreurs dans la
gestion des clés et tous les algorithmes cryptographiques modernes nécessitent des procédures
de gestion des clés. Dans la pratique, la plupart des attaques visant les systèmes
cryptographiques ciblent le système de gestion des clés plutôt que l'algorithme
cryptographique proprement dit.
Deux types de chiffrement

Il est possible de garantir la confidentialité des données avec un chiffrement cryptographique
en y incorporant divers outils et protocoles.
Deux méthodes sont possibles pour garantir la sécurité des données lors de l'utilisation du
chiffrement. La première consiste à protéger l'algorithme. Si la sécurité d'un système de
chiffrement dépend de la confidentialité de l'algorithme, il faut, à tout prix, protéger ce
dernier. Chaque fois que quelqu'un découvre les détails de l'algorithme, toutes les parties
concernées doivent le changer. Cette méthode n'est ni très sûre, ni très facile à gérer. La
deuxième méthode consiste à protéger les clés. Avec la cryptographie moderne, les
algorithmes sont publics. Ce sont les clés cryptographiques qui garantissent la confidentialité
des données. Ces clés sont des mots de passe qui font partie des informations saisies dans un
algorithme de chiffrement, parallèlement aux données qui doivent être chiffrées.
Il existe deux catégories d'algorithmes de chiffrement :
Algorithmes symétriques : ces algorithmes utilisent la même clé prépartagée, appelée parfois
paire de clés secrète, pour chiffrer et déchiffrer les données L'expéditeur et le destinataire
connaissent tous deux la clé prépartagée avant de commencer à communiquer. Comme illustré
à la Figure 1, les algorithmes symétriques utilisent la même clé pour chiffrer et déchiffrer le
texte en clair. Les algorithmes de chiffrement qui utilisent une clé commune sont plus simples
et nécessitent moins de puissance de calcul.
Algorithmes asymétriques : les algorithmes de chiffrement asymétriques utilisent une clé

pour chiffrer les données et une autre pour les déchiffrer. L'une des clés est publique et l'autre
est privée. Dans un système de chiffrement à clé publique, un utilisateur peut chiffrer un
message à l'aide de la clé publique du destinataire, qui est le seul à pouvoir le déchiffrer au
moyen de sa clé privée. Les parties échangent des messages sécurisés sans qu'il faille utiliser
une clé prépartagée, comme illustré à la Figure 2. Les algorithmes asymétriques sont plus
complexes. Ils consomment énormément de ressources et leur exécution est plus lente.
Processus de chiffrement symétrique
Les algorithmes symétriques utilisent la même clé prépartagée pour chiffrer et déchiffrer les
données ; une méthode également connue sous le nom de chiffrement par clé privée.
Par exemple, Alice et Bob résident dans des villes différentes et souhaitent s'échanger des
messages secrets par courrier. Alice souhaite faire parvenir un message secret à Bob.
Le chiffrement par clé privée utilise un algorithme symétrique. Comme vous pouvez le voir
sur cette figure, Alice et Bob possèdent des clés identiques pour ouvrir un même cadenas.
L'échange de clés a eu lieu avant l'envoi des messages secrets. Alice écrit un message secret et
le place dans une petite boîte qu'elle verrouille à l'aide du cadenas. Elle envoie la boîte à Bob.
Pendant le transfert, le message est en sécurité dans la boîte. Lorsque Bob reçoit la boîte, il
utilise sa clé pour ouvrir le cadenas et récupérer le message. Bob peut alors réutiliser la boîte
et le cadenas pour renvoyer un message secret à Alice.
Si Bob désire communiquer avec Carol, il a besoin d'une nouvelle clé prépartagée pour que
cette communication ne soit pas révélée à Alice. Plus le nombre de personnes avec lesquelles
Bob souhaite communiquer de manière sécurisée sera élevé, plus le nombre de clés à gérer
sera important.
Les types de cryptographie

Le chiffrement par bloc et le chiffrement de flux sont les types de cryptographie les plus
courants. Chaque méthode regroupe différemment les bits de données en vue de les chiffrer.
Chiffrement par bloc
Le chiffrement par bloc transforme un bloc de texte en clair d'une longueur fixe en bloc de
texte crypté de 64 ou 128 bits. La taille du bloc correspond à la quantité de données chiffrées
à un moment donné. Pour déchiffrer ce texte crypté, appliquez la transformation inverse au
bloc de texte crypté en utilisant la même clé secrète.
En règle générale, le chiffrement par bloc génère des données de sortie plus volumineuses que
les données d'entrée, car le texte chiffré doit être un multiple de la taille du bloc. DES (Data
Encryption Standard), par exemple, est un algorithme symétrique qui chiffre les blocs en
segments de 64 bits à l'aide d'une clé de 56 bits. Pour ce faire, l'algorithme prélève les
données par segment (des segments de 8 octets, par exemple), jusqu'à ce que tout le bloc soit
rempli. Si la quantité de données d'entrée est inférieure à un bloc complet, l'algorithme ajoute
des données artificielles, ou des blancs, jusqu'à ce que les 64 bits soient utilisés (comme
illustré pour les 64 bits dans la partie gauche de la Figure 1).
Chiffrement de flux
Contrairement au chiffrement par bloc, le chiffrement de flux chiffre du texte en clair, à raison
d'un bit à la fois, comme illustré à la Figure 2. Le chiffrement de flux correspond à un
chiffrement par bloc avec une taille de bloc d'un seul bit. Avec le chiffrement de flux, la
transformation de ces plus petites unités de texte en clair dépend de leur position dans le
processus de chiffrement. Le chiffrement de flux peut se révéler beaucoup plus rapide que le
chiffrement par bloc. De plus, cette méthode n'entraîne pas d'augmentation de la taille du
bloc, car elle peut chiffrer un nombre arbitraire de bits.
A5 est un chiffrement de flux qui assure la confidentialité des communications vocales et

chiffre les communications par téléphones mobiles. Il est également possible d'utiliser DES en
mode de chiffrement de flux.
Les systèmes cryptographiques complexes peuvent combiner les modes de chiffrement de

flux et par bloc au sein d'un même processus.
Algorithmes de chiffrement symétriques
De nombreux systèmes de chiffrement utilisent une méthode symétrique. Voici certaines
normes de chiffrement courantes basées sur une méthode symétrique :
3DES (Triple DES) : DES (Digital Encryption Standard) est un algorithme de chiffrement
symétrique avec une taille de bloc de 64 bits qui utilise une clé de 56 bits. Il prend un bloc de
texte en clair de 64 bits en entrée et génère un bloc de texte crypté de 64 bits. Il fonctionne
toujours sur des blocs de taille identique, et utilise les méthodes de permutation et de
substitution dans l'algorithme. La permutation est une méthode d'organisation de tous les
éléments d'un ensemble.
Triple DES chiffre les données trois fois et utilise une clé différente au moins une fois sur
trois, d'où une taille de clé cumulée de 112 à 168 bits. L'algorithme 3DES résiste aux attaques,
mais se montre beaucoup plus lent que DES.
Le cycle de chiffrement 3DES se présente comme suit :
1. Données chiffrées par le premier DES
2. Données déchiffrées par le deuxième DES
3. Données chiffrées à nouveau par le troisième DES
Le texte chiffré est déchiffré en suivant la procédure inverse.
IDEA : l'algorithme IDEA (International Data Encryption Algorithm) utilise des blocs de
64 bits et des clés de 128 bits. IDEA réalise huit sessions de transformations sur chacun des
16 blocs qui résultent de la division de chaque bloc de 64 bits. IDEA a remplacé DES ; PGP
(Pretty Good Privacy) l'utilise dorénavant. PGP est un programme qui assure la confidentialité
et l'authentification des communications de données. GnuPG ou GPG (GNU Privacy Guard)
est une version gratuite de PGP distribuée sous licence.
AES : l'algorithme AES (Advanced Encryption Standard) a une taille de bloc fixe de 128 bits,
avec une taille de clé de 128, 192 ou 256 bits. L'institut NIST (National Institute of Standards
and Technology) a approuvé l'algorithme AES en décembre 2001. Le gouvernement
américain utilise AES pour protéger les informations classifiées.
AES est un puissant algorithme qui utilise des clés plus longues. Plus rapide que DES et
3DES, il constitue une solution adaptée aussi bien aux applications logicielles qu'au matériel
utilisé dans les pare-feu et les routeurs.
Skipjack (développé par la NSA), Blowfish et Twofish sont d'autres types de chiffrement par
bloc.
Processus de chiffrement asymétrique
Le chiffrement asymétrique, appelé également chiffrement à clé publique, utilise une clé pour
le chiffrement et une autre pour le déchiffrement. Il est impossible pour un criminel de
calculer la clé de déchiffrement d'après la clé de chiffrement et inversement dans un délai
raisonnable.
Si Alice et Bob échangent un message secret à l'aide du chiffrement à clé publique, ils
utilisent un algorithme asymétrique. Cette fois, Bob et Alice n'échangent pas de clés avant de
s'envoyer des messages secrets. Au lieu de cela, ils utilisent chacun un cadenas distinct avec
des clés correspondantes séparées. Pour envoyer un message secret à Bob, Alice doit d'abord
le contacter et lui demander de lui envoyer son cadenas ouvert. Bob envoie alors son cadenas,
mais conserve sa clé. Lorsqu'Alice reçoit le cadenas, elle écrit son message secret et le place
dans une petite boîte. Elle y place également son cadenas ouvert, mais conserve sa clé.
Ensuite, elle verrouille la boîte avec le cadenas de Bob. Une fois le cadenas fermé, Alice ne
peut plus ouvrir la boîte, car elle ne possède pas la clé appropriée. Elle envoie la boîte à Bob
par courrier. Personne ne peut ouvrir la boîte alors qu'elle est en transit. Lorsque Bob reçoit la
boîte, il peut utiliser sa clé pour ouvrir le cadenas et récupérer le message d'Alice. Pour
envoyer une réponse sécurisée, Bob place son message secret dans la boîte, accompagné de
son cadenas ouvert, et verrouille la boîte avec le cadenas d'Alice. À son tour, Bob envoie la
boîte fermée à Alice.
Par exemple, Alice demande et obtient la clé publique de Bob.
Alice utilise la clé publique de Bob pour chiffrer un message à l'aide d'un algorithme convenu
par les deux parties.
Alice envoie le message chiffré à Bob qui utilise alors sa clé privée pour le déchiffrer
.
Algorithmes de chiffrement asymétriques
Les algorithmes asymétriques utilisent des formules que tout le monde peut consulter.
L'utilisation d'une paire de clés non liées constitue un gage de sécurité. Voici les algorithmes
asymétriques :
RSA (Rivest-Shamir-Adleman) : cet algorithme utilise le produit de deux très grands

nombres premiers de même longueur, entre 100 et 200 chiffres. Les navigateurs utilisent RSA
pour établir une connexion sécurisée.
Diffie-Hellman : fournit une méthode d'échange électronique pour partager la clé secrète. Les
protocoles sécurisés comme SSL (Secure Sockets Layer), TLS (Transport Layer Security),
SSH (Secure Shell) et IPsec (Internet Protocol Security) utilisent Diffie-Hellman.
ElGamal : utilise le standard du gouvernement des États-Unis pour les signatures

numériques. Cet algorithme n'étant protégé par aucun brevet, il peut être utilisé gratuitement.
Cryptographie sur les courbes elliptiques (ECC) : utilise des courbes elliptiques pour créer
un algorithme. Aux États-Unis, la NSA (National Security Agency) utilise ECC pour générer
des signatures numériques et échanger des clés.
Gestion des clés

La gestion des clés est un processus qui comprend la génération, l'échange, le stockage,
l'utilisation et le remplacement de clés utilisées dans un algorithme de chiffrement.
La gestion des clés est la partie la plus difficile de la conception d'un système de
cryptographie. De nombreux systèmes de cryptographie ont échoué en raison d'erreurs dans
leurs procédures de gestion des clés. Dans la pratique, la plupart des attaques visant les
systèmes cryptographiques ciblent la couche de gestion des clés plutôt que l'algorithme
cryptographique proprement dit.
Comme vous pouvez le voir sur cette figure, plusieurs caractéristiques essentielles de la
gestion des clés doivent être prises en compte.
Deux termes sont utilisés pour décrire les clés :
 Longueur de clé - Il s'agit de la mesure de la clé, exprimée en bits ; on parle

également de taille de clé.
 Espace de clés - Il s'agit du nombre de possibilités qu'une longueur de clé donnée peut
générer.
L'espace de clés augmente exponentiellement au fur et à mesure que la longueur de clé

s'accroît. L'espace de clés d'un algorithme est l'ensemble de toutes les valeurs de clé possibles.
Plus une clé est longue, plus elle est sécurisée ; cependant, elle est également plus gourmande
en ressources. Pratiquement tous les algorithmes contiennent quelques clés faibles qui
permettent aux hackers de percer le chiffrement en empruntant un raccourci.
Génération de clé : Il incombait à César de choisir la clé de son chiffrement. La clé de

chiffrement Vigenère est également choisie par l'expéditeur et le récepteur. Dans un système
de cryptographie moderne, la génération de clé est généralement automatisée et n'est pas
laissée à la discrétion de l'utilisateur final. Il est nécessaire d'utiliser de bons générateurs de
nombres aléatoires afin de garantir que toutes les clés sont générées de manière identique, de
façon que l'agresseur ne puisse pas prédire les clés qui ont le plus de chances d'être utilisées.
Vérification de clé : Certaines clés sont meilleures que d'autres. Pratiquement tous les
algorithmes de chiffrement comportent des clés faibles qui ne doivent pas être utilisées. Grâce
au recours aux procédures de vérification de clé, il est possible d'identifier les clés faibles et
de les régénérer pour offrir un chiffrement plus sûr. Avec le chiffrement Caesar, l'utilisation
d'une clé de 0 ou 25 ne chiffre pas le message ; celle-ci ne doit donc pas être utilisée.
Echange de clé : Les procédures de gestion de clé doivent offrir un mécanisme d'échange de
clés sécurisé permettant un accord sécurisé sur le matériel de clé avec l'autre partie,
probablement sur un support non fiable.
Stockage de la clé : Sur un système d'exploitation multi-utilisateur moderne ayant recours au

chiffrement, une clé peut être stockée en mémoire. Cela présente un problème possible en cas
d'échange sur disque de cette mémoire, car un programme de cheval de Troie installé sur le
PC d'un utilisateur peut alors avoir accès à ses clés privées.
Durée de validité de la clé : L'utilisation de courtes durées de vie pour les clés améliore la
sécurité des anciens chiffrements utilisés sur les connexions à haut débit. Dans IPsec, une
durée de vie de 24 heures est standard. Toutefois, le passage à une durée de vie de 30 minutes
renforce la sécurité des algorithmes.
Révocation et destruction de la clé : La révocation prévient toutes les parties intéressées

qu'une clé donnée a été compromise et ne doit plus être utilisée. La destruction efface les
anciennes clés de façon à empêcher les agresseurs malveillants de les récupérer.
Comparaison des types de chiffrement

Il est important de connaître les différences entre les méthodes de chiffrement asymétrique et
symétrique. Les systèmes de chiffrement symétrique sont plus efficaces et gèrent un plus
grand nombre de données. Cependant, la gestion des clés est plus problématique et plus
complexe. La cryptographie asymétrique protège plus efficacement la confidentialité de petits
volumes de données. De plus, vu sa taille et sa vitesse, elle sécurise mieux certaines tâches,
comme l'échange de clés électroniques qui implique de faibles volumes de données au lieu de
chiffrer d'importants blocs de données.
Il est primordial de préserver la confidentialité des données, qu'elles soient au repos ou en

mouvement. Dans les deux cas, il est préférable d'opter pour le chiffrement symétrique en
raison de sa vitesse et de la simplicité de l'algorithme. Certains algorithmes asymétriques
peuvent augmenter sensiblement la taille de l'objet chiffré. Par conséquent, dans le cas des
données en mouvement, utilisez la cryptographie à clé publique pour échanger la clé secrète,
puis la cryptographie symétrique pour garantir la confidentialité des données envoyées.
Applications
Il existe de nombreuses applications pour les algorithmes symétriques et asymétriques.
Un token de création de mots de passe uniques est un appareil qui utilise la cryptographie
pour générer un mot de passe unique. Un mot de passe unique est une chaîne numérique ou
alphanumérique de caractères générée automatiquement qui authentifie un utilisateur pour une
transaction dans une seule session. Le nombre change toutes les 30 secondes environ. Le mot
de passe de la session apparaît à l'écran et l'utilisateur le saisit.
Le secteur du paiement électronique utilise 3DES. Les systèmes d'exploitation utilisent DES
pour protéger les fichiers de l'utilisateur et les données du système à l'aide de mots de passe.
La plupart des systèmes de fichiers de chiffrement, comme NTFS, utilisent AES.
Quatre protocoles ont recours aux algorithmes de clés asymétriques :
 IKE (Internet Key Exchange), qui est un composant fondamental des réseaux privés
virtuels (VPN) IPsec.
 SSL (Secure Socket Layer), qui permet d'implémenter la cryptographie dans un

navigateur.
 SSH (Secure Shell), qui assure une connexion à distance sécurisée aux appareils
réseau.
 PGP (Pretty Good Privacy), qui est un programme informatique qui assure la
confidentialité et l'authentification cryptographiques afin de renforcer la sécurité des
communications par e-mail.
Un VPN est un réseau privé qui utilise un réseau public, généralement Internet, pour créer un
canal de communication sécurisé. Un VPN établit une connexion entre deux terminaux, par
exemple deux bureaux distants, via Internet.
Les VPN utilisent IPsec. IPsec est une suite de protocoles développée pour protéger les
services sur les réseaux. Les services IPsec se chargent de l'authentification, de l'intégrité, du
contrôle d'accès et de la confidentialité. Grâce à IPsec, les sites distants peuvent échanger des
informations chiffrées et vérifiées.
Les données en cours d'utilisation sont un sujet de préoccupation pour de nombreuses

entreprises. Lorsqu'elles sont utilisées, les données ne sont plus protégées, car l'utilisateur doit
pouvoir les consulter et les modifier. La mémoire système stocke les données en cours
d'utilisation et peut contenir des données sensibles, comme la clé de chiffrement. Si des
cybercriminels compromettent les données en cours d'utilisation, ils auront accès aux données
au repos et aux données en mouvement.
Contrôles d'accès physiques

Les contrôles d'accès physiques sont les barrières mises en place pour empêcher tout contact
direct avec les systèmes. L'objectif est d'empêcher des utilisateurs non autorisés d'accéder
physiquement aux sites, aux équipements et aux autres ressources de l'entreprise.
Le contrôle d'accès physique détermine quels individus sont autorisés à entrer (ou sortir), où
et quand ils peuvent entrer (ou sortir).
Voici quelques exemples de contrôles d'accès physiques :

 Des gardes ou agents de sécurité surveillent le site.
 Des clôtures protègent le périmètre.
 Des détecteurs de mouvement détectent les objets en mouvement.
 Des dispositifs antivol pour ordinateur portable protègent l'équipement portable.
 Des portes verrouillées empêchent tout accès non autorisé.
 Des systèmes d'accès par carte magnétique permettent d'accéder aux zones d'accès
limité.
 Des chiens de garde protègent le site.
 Des caméras vidéo surveillent les installations en capturant et en enregistrant des

images.
 Des sas permettent d'accéder à une zone sécurisée après la fermeture de la porte 1.
 Des alarmes détectent les intrusions.
Contrôles d'accès logiques

Les contrôles d'accès logiques désignent les solutions matérielles et logicielles utilisées pour
gérer l'accès aux ressources et aux systèmes. Ces solutions technologiques englobent des
outils et des protocoles utilisés par les systèmes informatiques pour l'identification,
l'authentification, l'autorisation et la responsabilisation.
Voici quelques exemples de contrôles d'accès logiques :
 Le chiffrement est un processus qui consiste à convertir du texte en clair en texte

crypté.
 Les cartes à puce disposent d'une micropuce intégrée.
 Un mot de passe est une chaîne de caractères protégée.
 La biométrie analyse les caractéristiques physiques d'un utilisateur.
 Les listes de contrôle d'accès (ACL) définissent le type de trafic autorisé sur un réseau.
 Les protocoles sont des ensembles de règles qui régissent l'échange de données entre
des appareils.
 Les pare-feu bloquent le trafic indésirable.

 Les routeurs connectent au moins deux réseaux.
 Les systèmes de détection d'intrusion (IDS) surveillent les activités suspectes sur un
réseau.
 Les niveaux de coupure définissent des seuils d'erreurs autorisés avant le

déclenchement d'une alerte.
Cliquez sur chaque type de contrôle d'accès logique illustré dans la figure pour en savoir plus
à son sujet.
Contrôles d'accès administratifs

Les contrôles d'accès administratifs sont des politiques et des procédures mises en place par
les entreprises pour contrôler les accès non autorisés. Les contrôles administratifs se
concentrent sur les pratiques personnelles et professionnelles. Voici quelques exemples de
contrôles d'accès administratifs :
 Les politiques sont des déclarations d'intention.
 Les procédures détaillent les étapes à suivre pour effectuer une activité.
 Les pratiques de recrutement décrivent les procédures suivies par une entreprise pour
trouver des employés qualifiés.
 La vérification des antécédents est un processus de filtrage des employés qui porte sur
les antécédents professionnels, l'historique de crédit et les antécédents criminels d'un
candidat.
 La classification des données classe les données en fonction de leur niveau de

sensibilité.
 Une formation à la sécurité sensibilise les employés aux politiques de sécurité en

vigueur dans l'entreprise.
 Une évaluation permet de mesurer le rendement d'un employé.
Contrôle d'accès obligatoire (MAC)

Un contrôle d'accès obligatoire limite les actions qu'un sujet peut effectuer sur un objet. Un
sujet peut être un utilisateur ou un processus. Un objet peut être un fichier, un port ou un
appareil d'entrée/sortie. Une règle d'autorisation stipule si un sujet peut accéder ou non à
l'objet.
Les entreprises utilisent ce type de contrôle d'accès lorsqu'il existe plusieurs niveaux de
classifications de sécurité. Chaque objet possède une étiquette et chaque sujet dispose d'une
habilitation. Un système MAC limite l'accès d'un sujet sur la base de la classification de
sécurité de l'objet et de l'étiquette associée à l'utilisateur.
Prenons l'exemple des classifications de sécurité militaires « Secret » et « Top Secret ». Si un

fichier (objet) est considéré comme top secret, il reçoit la classification (étiquette) Top Secret.
Les seules personnes (sujets) autorisées à consulter le fichier (objet) sont celles qui possèdent
une habilitation Top Secret. Le rôle du mécanisme de contrôle d'accès est de s'assurer qu'une
personne (sujet) disposant seulement d'une habilitation Secret n'aura jamais accès à un fichier
étiqueté Top Secret. De même, un utilisateur (sujet) ayant une habilitation d'accès Top Secret
ne peut pas changer la classification d'un fichier (objet) étiqueté Top Secret en Secret. En
outre, un utilisateur ayant l'habilitation Top Secret ne peut pas envoyer de fichier Top Secret à
un utilisateur habilité à ne consulter que des informations classées Secret.
Contrôle d'accès discrétionnaire

Il appartient au propriétaire d'un objet de déterminer s'il doit autoriser l'accès à cet objet avec
un contrôle d'accès discrétionnaire (DAC). Ce type d'accès accorde ou refuse l'accès
déterminé par le propriétaire de l'objet. Comme leur nom l'indique, ces contrôles sont
discrétionnaires, car le propriétaire d'un objet possédant certaines autorisations d'accès peut
transmettre ces autorisations à un autre sujet.
Dans les systèmes qui utilisent des contrôles d'accès discrétionnaires, le propriétaire d'un objet
peut déterminer les sujets autorisés à y accéder, ainsi que l'accès dont ils peuvent bénéficier.
Pour ce faire, on a généralement recours à des autorisations, comme illustré sur cette figure.
Le propriétaire d'un fichier peut spécifier les autorisations (lecture/écriture/exécution)
accordées à d'autres utilisateurs.
Une liste de contrôle d'accès est un autre mécanisme d'implémentation du contrôle d'accès
discrétionnaire utilisé couramment. Ce type de liste utilise des règles pour déterminer le trafic
entrant ou sortant autorisé sur le réseau.
Contrôle d'accès basé sur les rôles

Le contrôle d'accès reposant sur la prise en compte des rôles (RBAC) dépend du rôle du sujet.
Les rôles correspondent aux postes occupés dans une entreprise. Certains rôles exigent des
autorisations pour effectuer des opérations spécifiques. Les utilisateurs obtiennent leurs
autorisations en fonction de leur rôle.
RBAC peut être combiné à DAC ou MAC en appliquant les politiques de l'un ou l'autre. Le
contrôle d'accès RBAC permet de mettre en place une administration de la sécurité au sein
des grandes entreprises comptant des centaines d'utilisateurs et des milliers d'autorisations
possibles. Son utilisation est largement répandue dans l'environnement des entreprises pour
gérer des autorisations informatiques dans un système ou une application.
Contrôle d'accès basé sur les règles
Le contrôle d'accès basé sur les règles utilise des listes de contrôle d'accès (ACL) pour
déterminer s'il convient ou non d'accorder l'accès à des données à un utilisateur spécifique. La
liste de contrôle d'accès contient une série de règles, comme illustré sur la figure. Ces règles
déterminent l'autorisation ou l'interdiction d'accès. À titre d'exemple, une de ces règles stipule
qu'aucun collaborateur ne peut accéder au fichier des paies en dehors des heures de bureau ou
le week-end.
Comme c'est le cas pour le contrôle d'accès obligatoire (MAC), les utilisateurs ne peuvent pas
modifier les règles d'accès. Les entreprises peuvent associer le contrôle d'accès basé sur les
règles à d'autres stratégies pour instaurer des restrictions d'accès. Les méthodes MAC
peuvent, par exemple, adopter une approche basée sur les règles pour la mise en œuvre.
Qu'est-ce que l'identification ?

L'identification applique les règles établies par la politique d'autorisation. Un sujet demande à
accéder à une ressource du système. À chaque fois que le sujet demande à accéder à une
ressource, les contrôles d'accès déterminent s'il convient de lui autoriser ou de lui interdire
l'accès à cette ressource. La police d'autorisation détermine, par exemple, les opérations qu'un
utilisateur peut effectuer sur une ressource.
Un identifiant unique garantit une association correcte entre les opérations autorisées et les
sujets. Le nom d'utilisateur est la méthode utilisée le plus couramment pour identifier un
utilisateur. Il peut s'agir d'une combinaison de caractères alphanumériques, d'un code PIN,
d'une carte à puce ou d'une caractéristique biométrique, telle qu'une empreinte digitale, une
lecture rétinienne ou la reconnaissance vocale.
Un identifiant unique permet à un système d'identifier chaque utilisateur individuellement,

c'est-à-dire de donner la permission à un utilisateur autorisé d'effectuer des actions
appropriées sur une ressource donnée.
Contrôles d'identification
Les politiques de cybersécurité indiquent les contrôles d'identification à utiliser. La sensibilité
des informations et des systèmes d'information détermine le niveau de rigueur des contrôles.
La multiplication des violations de données a obligé de nombreuses entreprises à renforcer
leurs contrôles d'identification. Par exemple, aux États-Unis, le secteur des cartes de crédit
exige que tous les fournisseurs migrent vers les systèmes d'identification par carte à puce.
Un élément que vous savez

Les mots de passe, phrases sécrètes et codes PIN sont des exemples d'informations connues
de l'utilisateur. L'authentification à l'aide d'un mot de passe est la méthode la plus populaire.
Mot de passe est un terme générique qui fait référence aux phrases secrète, codes d'accès, clés
d'accès et autres codes PIN. Un mot de passe est une chaîne de caractères utilisée pour
prouver l'identité d'un utilisateur. Si cette chaîne permet d'établir un lien avec un utilisateur
(un nom, une date de naissance ou une adresse, par exemple), il sera plus facile pour les
cybercriminels de trouver le mot de passe.
Plusieurs publications recommandent une taille de mot de passe d'au moins huit caractères. Il
est conseillé de ne pas définir de mots de passe trop longs, car ils sont difficiles à mémoriser
ou, à l'inverse, de mots de passe trop courts et, de ce fait, faciles à pirater. Les mots de passe
doivent combiner des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.
Les utilisateurs sont invités à définir des mots de passe différents pour plusieurs systèmes,
pour la simple raison que si un hacker pirate un mot de passe unique, il aura accès à
l'ensemble de leurs comptes. Un gestionnaire de mots de passe peut aider un utilisateur à créer
et mémoriser des mots de passe forts.
Un élément que vous possédez

Les cartes à puce et les jetons d'authentification sont deux exemples d'éléments que les
utilisateurs ont en leur possession.
Sécurité par carte à puce (Figure 1) : une carte à puce est une petite carte plastique, environ
de la taille d'une carte de crédit, et contenant une petite puce. Cette puce est un support de
données intelligent, capable de traiter, de stocker et de protéger des données. Les cartes à puce
permettent de stocker des informations privées, comme des numéros de comptes bancaires,
des données d'identification personnelle, des dossiers médicaux et des signatures numériques.
Elles fournissent l'authentification et le chiffrement pour la sécurisation des données.
Jeton d'authentification (Figure 2) : un jeton d'authentification est un dispositif
suffisamment petit pour être attaché à un porte-clés. Il utilise un processus appelé
authentification à deux facteurs, qui est plus sécurisée que la simple combinaison nom
d'utilisateur/mot de passe. Tout d'abord, l'utilisateur entre un code PIN. S'il est correct, le
jeton d'authentification affiche un numéro. C'est le deuxième facteur, que l'utilisateur doit
entrer pour se connecter à l'appareil ou au réseau.
Un élément qui vous définit

Un attribut biométrique est une caractéristique physique unique, telle qu'une empreinte
digitale, la rétine ou la voix, qui identifie un utilisateur. La sécurité biométrique compare les
caractéristiques physiques des utilisateurs aux profils enregistrés en vue de procéder à
l'authentification des personnes. Un profil est un fichier de données contenant les
caractéristiques d'un individu. Le système accorde l'accès à l'utilisateur si ses caractéristiques
correspondent aux paramètres enregistrés. Les lecteurs d'empreintes digitales sont aussi des
périphériques biométriques assez répandus.
Il existe deux types d'identificateurs biométriques :
 Caractéristiques physiologiques : empreintes digitales, ADN, visage, mains, rétine

ou attributs auriculaires.
 Caractéristiques comportementales : modes de comportement tels que les gestes, la

voix, le rythme de frappe ou la façon de marcher.
La biométrie est de plus en plus populaire dans les systèmes de sécurité publique, les
appareils électroniques grand public et les applications de point de vente. La mise en œuvre
de cette technologie requiert un dispositif de lecture, un logiciel qui convertit les informations
lues au format numérique et une base de données qui stocke les données biométriques à des
fins de comparaison.
Authentification multifacteur
L'authentification multifacteur utilise au moins deux méthodes de vérification. Un jeton
d'authentification en est un bon exemple. Les deux facteurs sont un élément que vous
connaissez, par exemple un mot de passe, et un autre élément en votre possession, comme un
jeton d'authentification. Vous pouvez aller encore plus loin en ajoutant un élément qui vous
définit, comme une lecture d'empreintes digitales.
L'authentification multifacteur permet de réduire l'impact d'une usurpation d'identité en ligne,

dans la mesure où le simple fait de connaître le mot de passe ne permettra pas au
cybercriminel d'accéder aux informations de l'utilisateur. Par exemple, le site web d'une
banque en ligne peut exiger la saisie d'un mot de passe et d'un code PIN que l'utilisateur reçoit
sur son smartphone. Comme le montre cette illustration, retirer de l'argent dans un distributeur
automatique est un autre exemple d'authentification multifacteur. L'utilisateur doit en effet
posséder une carte bancaire et connaître le code secret (ou code PIN) pour que le retrait soit
possible.
Qu'est-ce que l'autorisation ?
L'autorisation détermine ce qu'un utilisateur peut faire et ne pas faire sur un réseau après s'être
authentifié. Dès qu'un utilisateur a prouvé son identité, le système vérifie les ressources réseau
auxquelles il peut accéder et les opérations qu'il est autorisé à effectuer. Comme le montre
cette illustration, l'autorisation répond à la question suivante : « Quels privilèges de lecture, de
copie, de création et de suppression l'utilisateur possède-t-il ? »
L'autorisation utilise un ensemble d'attributs qui décrivent l'accès de l'utilisateur au réseau. Le

système compare ces attributs aux informations enregistrées dans la base de données
d'authentification, détermine un jeu de restrictions applicables à cet utilisateur et le transmet
au routeur local auquel l'utilisateur est connecté.
L'autorisation est un processus automatique qui ne requiert, de la part des utilisateurs, aucune
étape supplémentaire après l'authentification. Implémentez l'autorisation immédiatement après
l'authentification de l'utilisateur.
Utilisation de l'autorisation
Définir des règles d'autorisation est la première étape du processus de contrôle d'accès. C'est
une politique d'autorisation qui fixe ces règles.
Comme son nom l'indique, la politique d'appartenance à un groupe définit l'autorisation sur la
base d'une appartenance à un groupe bien précis. Par exemple, tous les employés d'une
entreprise possèdent une carte magnétique qui leur donne accès au site. S'il n'est pas
nécessaire qu'un employé ait accès à la salle des serveurs dans le cadre de son travail, sa carte
de sécurité ne l'autorisera pas à y pénétrer.
Une politique de niveau décisionnel définit les autorisations d'accès en fonction de la position
d'un employé au sein de l'entreprise. Par exemple, l'accès à la salle des serveurs est réservé
aux seuls employés du service informatique ayant le statut de cadre.
Qu'est-ce que la traçabilité ?

La traçabilité permet de remonter à la source d'une action et d'identifier ainsi la personne ou le
processus qui a apporté une modification à un système. Cette opération collecte ensuite ces
informations et génère un rapport sur les données d'utilisation. L'entreprise peut utiliser ces
données à diverses fins, comme les audits ou la facturation. Parmi les données collectées, on
trouve l'heure de connexion d'un utilisateur, si l'utilisateur a réussi à se connecter ou non, ou
les ressources réseau que l'utilisateur a consultées. L'entreprise peut ainsi assurer le suivi des
actions et des erreurs survenues lors d'un audit ou d'une enquête.
Mise en œuvre de la traçabilité

La traçabilité implique des technologies, des politiques, des procédures et des formations. Les
fichiers journaux fournissent des informations détaillées en fonction des paramètres choisis.
Une entreprise peut, par exemple, consulter un journal pour rechercher les tentatives de
connexion ayant abouti ou échoué. Les échecs de connexion peuvent indiquer qu'un hacker a
tenté de pirater un compte. Les connexions réussies indiquent à l'entreprise le nom des
utilisateurs connectés, ainsi que l'historique d'utilisation des différentes ressources. Est-il
normal qu'un utilisateur autorisé accède au réseau d'entreprise à trois heures du matin ? Les
procédures et politiques de l'entreprise définissent les actions qui doivent être enregistrées,
ainsi que la façon dont les fichiers journaux doivent être générés, examinés et stockés.
Les exigences en matière de conformité, de rétention des données et d'élimination des

supports contribuent à la traçabilité. De nombreuses lois exigent la mise en œuvre de mesures
visant à sécuriser différents types de données. Ces lois dictent à l'entreprise la marche à suivre
pour traiter, stocker et éliminer correctement les données. La formation et la sensibilisation
aux politiques d'une entreprise, à ses procédures et aux lois connexes peuvent également
contribuer à la traçabilité.
Techniques de masquage de données
Le masquage de données peut remplacer des données sensibles dans les environnements hors
production afin de protéger les informations sous-jacentes.
Plusieurs techniques de masquage de données permettent de faire en sorte que les données
restent compréhensibles, tout en les modifiant suffisamment pour les protéger.
 La substitution remplace les données par des valeurs authentiques en apparence afin
de rendre anonymes les enregistrements de données.
 Le brassage déduit un ensemble de remplacement de la même colonne de données que

celle qu'un utilisateur souhaite masquer. Cette technique convient parfaitement aux
données financières dans une base de données test, par exemple.
 La technique d'annulation applique une valeur nulle à un champ donné, ce qui

empêche toute visibilité des données.
Qu'est-ce que la stéganographie ?

La stéganographie dissimule les données (le message) dans un autre fichier, comme un
graphique, un fichier audio ou un autre fichier texte. La stéganographie présente un avantage
par rapport à la cryptographie : le message secret n'attire pas spécialement l'attention.
Personne ne peut imaginer qu'une image contient en réalité un message secret en consultant le
fichier au format électronique ou papier.
Plusieurs éléments interviennent dans la dissimulation des données. Il y a tout d'abord les
données intégrées, c'est-à-dire le message secret. Le texte, l'image ou le son de couverture
dissimule les données intégrées en générant le texte, l'image ou le son stéganographique. C'est
une clé de stéganographie qui contrôle le processus de dissimulation.
Techniques de stéganographie
La méthode du bit de poids faible (LSB) est utilisée pour intégrer les données dans une image
de couverture. Cette méthode utilise des bits de chaque pixel de l'image. Le pixel est l'unité de
base d'une couleur programmable dans une image informatique. La couleur exacte d'un pixel
est une combinaison de trois couleurs : le rouge, le vert et le bleu (RVB). Trois octets de
données définissent la couleur d'un pixel (un octet par couleur). Huit bits forment un octet. Un
système couleur 24 bits utilise les trois octets. La méthode LSB utilise un bit de chacune des
composantes couleurs rouges, verte et bleue. Chaque pixel peut stocker trois bits.
Cette figure montre trois pixels d'une image couleur 24 bits. L'une des lettres du message
secret est le « T ». L'insertion du caractère « T » modifie uniquement deux bits de la couleur.
L'œil humain ne peut pas identifier les modifications apportées aux bits de poids faible. Cela
se traduit donc par un caractère caché.
En moyenne, il suffit de modifier à peine 50 % des bits d'une image pour dissimuler
efficacement un message secret.
Obfuscation
L'obscurcissement de données est l'utilisation et la pratique des techniques de stéganographie
et de masquage de données dans le domaine de la cybersécurité. L'obfuscation consiste à
rendre le message confus, ambigu ou difficile à comprendre. Un système peut
intentionnellement brouiller les messages pour éviter tout accès non autorisé à des
informations sensibles.
Applications
Le filigrane logiciel protège les logiciels contre tout accès non autorisé ou toute modification.
Le filigrane logiciel insère un message secret dans le programme comme preuve de propriété.
Ce message secret correspond au filigrane logiciel. Si quelqu'un tente de supprimer le
filigrane, le code ne fonctionnera plus.
L'obscurcissement logiciel convertit un logiciel en une version équivalant à l'original, mais

plus difficile à analyser pour les agresseurs. Toute tentative de rétro-ingénierie du logiciel
donnera des résultats incompréhensibles à partir du logiciel qui continue de fonctionner.

CYBERSECURITE 2ème Année en RT

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CYBERSECURITE 2ème Année en RT

Transféré par

Droits d'auteur :

Formats disponibles

UE IUT GRT 33: CONFIGURATION ET

EXPLOITATION DE RESEAUX D’ENTREPRISE

GRT 332 : Introduction à la CyberSécurité

Etre capable de développer une politique pertinente de sécurité des réseaux

Sécurité : Intégrité, authentification, confidentialité

• Audit de sécurité, vulnérabilité, détection d’intrusion

• Approfondissement des mécanismes de filtrage et de contrôle d’accès (Proxy-Firewall, NAT, ACL...)

• Services sécurisés. Applications sécurisées (HTTPS…)

• Déploiement et mise en œuvre de système de cryptographie (clés, signature lectronique…)

• Systèmes d’authentification. Infrastructure à clé publique et certificats

Noms et Prénoms CM TP TD TPE

Séances Thèmes développés Durée

Séance 1 Chapitre 1 Cybersécurité – Généralités 2h

Séance 2 Chapitre 2 : Le cube magique de la cybersécurité 2h

Séance 3 Chapitre 3 : menaces pour la cybersécurité, vulnérabilités et attaques 2h

Séance 4 Chapitre 4 : L'art de protéger des secrets 2h

Séance 8 Chapitre 8 : Devenir spécialiste de la cyber sécurité 1h

(1) Site Internet

(2) Ouvrage/ Revues

- les réseaux informatiques

- les réseaux Informatiques pour les nuls

Chapitre 4 : L'art de protéger des secrets........................................................................................................4

Présentation des acteurs

LinkedIn est un autre château de données du royaume virtuel. Les cybermagiciens de

De nouvelles technologies, comme GIS (Geospatial Information Systems) et l'Internet of

Testeur de vulnérabilité : Il s'agit généralement de hackers au chapeau gris qui tentent de

 Création de bases de données complètes des vulnérabilités connues des systèmes et

 Mise en œuvre de capteurs d'alerte et de réseaux d'alerte. En raison du coût et de

 Partage d'informations relatives à la cybersécurité. Les entreprises, les organismes

 Établissement de normes de gestion de la sécurité des informations au sein des

 Promulgation de nouvelles lois pour décourager les cyberattaques et les violations de

Types de données personnelles

Dossiers professionnels et financiers

Menaces contre les services

Le DNS (service de nom de domaine) convertit un nom de domaine comme

Les menaces ciblant les secteurs du monde

 mal gérer les données confidentielles ;

 menacer le fonctionnement des serveurs internes ou des périphériques de

Menaces externes pour la sécurité

Les informations de l'entreprise incluent les informations personnelles, la propriété

Le graphique classe les différents types de cybercriminels. Les agresseurs de l'extérieur

Les vulnérabilités des terminaux mobiles

L'émergence de l'Internet des objets

L'impact du Big Data

 Le volume ou la quantité de données

 La vélocité ou la vitesse des données

 La variété ou la plage de types et de sources de données

Utilisation d'armes avancées

Une portée plus large et un effet domino

La première dimension du cube magique de la cybersécurité comprend les trois principes de

Ce chapitre présente également le modèle de cybersécurité ISO. Ce modèle représente un

Les principes de la sécurité

Le principe de confidentialité consiste à empêcher la divulgation d'informations à des

Confidentialité, l'intégrité et la disponibilité

Les états des données

 Données au repos ou stockées

 Données en cours de traitement

Pour protéger le cyberespace, les professionnels de la cybersécurité doivent tenir compte de la

Protection de la vie privée

 On parle d'informations commerciales pour désigner toutes les informations qui

 Les informations classifiées sont des informations qui appartiennent à un organisme

Le premier « A » désigne l'authentification. L'authentification vérifie l'identité d'un

 Un élément qu'ils connaissent (comme un mot de passe)