Sécurité

Notions de base
Que doit-on sécuriser ?
 Le réseau :
 Données
 Architecture et équipements
 Protocoles
 Les applications :
 Données
 Algorithmes

 …

10 Sécurité Informatique 2023-2024

Pourquoi ?
 La maîtrise du cycle de vie des patrimoines numériques
(transport, traitement, stockage) : question de souveraineté
-> technique maîtresse du cryptage
 La valorisation des contenus : enjeu économique ->
tatouage, …
 La confiance dans l’univers (république) numérique :
enjeu social -> authentification, certificats, tiers de
confiance, …
 La sécurisation des info-sphères :
 Niveau individuel : préservation de l’intimité (filature électronique)
 Niveau organisation : prévention des attaques, architectures de
sécurité
 Niveau état : invulnérabilité des infrastructures critiques, prévention
des catastrophes

11 Sécurité Informatique 2023-2024

Contre quoi ?
 Déficiences des équipements
 Erreurs humaines
 Attaques malicieuses

12 Sécurité Informatique 2023-2024

Statistiques sur la sécurité
 20000 attaques réussies par mois sur un ou plusieurs
sites dans le monde
 70000 virus en 2004 (augmentation d’environ 1000 par
mois, 10000 actifs, exemple d’un pic infection : 10% du
trafic mail)
 20 milliards de messages SPAM par jour
 Cybercriminalité évaluée à 50 milliards d’euros par an

 Source : CLUSIF, 2004

13 Sécurité Informatique 2023-2024

Services de sécurité
 Confidentialité : seuls les tiers autorisés connaissent les
données
 Intégrité : données non altérées
 Disponibilité : accès aux données dans de bonnes
conditions
 Authentification : identité des acteurs de la
communication est vérifiée
 Non répudiation : les acteurs d'une communication ne
peuvent nier leur participation

14 Sécurité Informatique 2023-2024

Mécanismes de défense
 Chiffrement : algorithme généralement basé sur des clefs et
transformant les données. Sa sécurité est dépendante du
niveau de sécurité des clefs.
 Signature numérique: données ajoutées pour vérifier
l'intégrité ou l'origine des données.
 Bourrage de trafic : données ajoutées pour assurer la
confidentialité, notamment au niveau du volume du trafic.
 Notarisation : utilisation d’un tiers de confiance pour assurer
certains services de sécurité.
 Contrôle d’accès : vérifie les droits d’accès d'un acteur aux
données. N'empêche pas l'exploitation d'une vulnérabilité.

15 Sécurité Informatique 2023-2024

Mécanismes avancés
 Antivirus : logiciel censé protéger ordinateur contre les
logiciels (ou fichiers potentiellement exécutables) néfastes.
Ne protège pas contre un intrus qui emploie un logiciel
légitime, ou contre un utilisateur légitime qui accède à une
ressource qui lui est interdite.

 Pare-feu : un élément (logiciel ou matériel) du réseau

informatique contrôlant les communications qui le
traversent. Il a pour fonction de faire respecter la politique
de sécurité du réseau, celle-ci définissant quels sont les
communications autorisés ou interdits. N'empêche pas un
attaquant d'utiliser une connexion autorisée pour attaquer le
système. Ne protège pas contre une attaque venant du
réseau intérieur (qui ne le traverse pas).

16 Sécurité Informatique 2023-2024

Autres mécanismes avancés
 Détection d'intrusion : repère les activités anormales ou
suspectes sur le réseau surveillé. Ne détecte pas les accès
incorrects mais autorisés par un utilisateur légitime.
Mauvaise détection : taux de faux positifs, faux négatifs.

 Journalisation ("logs") : Enregistrement des activités de

chaque acteurs. Permet de constater que des attaques ont eu
lieu, de les analyser et potentiellement de faire en sorte
qu'elles ne se reproduisent pas.

 Analyse des vulnérabilité ("security audit") : identification

des points de vulnérabilité du système. Ne détecte pas les
attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu.

17 Sécurité Informatique 2023-2024

Politique de sécurité
 Une politique de sécurité ce n'est pas seulement les
paramètres de sécurité :
 longueur des clefs,
 choix des algorithmes,
 fréquence de changement des "passwords",
 …
 Une fois une politique de sécurité définie, sa mise en
œuvre (utilisation d'outils appropriés) et sa bonne
gestion (maintien de la cohérence) sont des points
critiques.

18 Sécurité Informatique 2023-2024

Processus de sécurité

Implémentation Évaluation /
et formation audit

Politique de
sécurité

19 Sécurité Informatique 2023-2024

Remarque
 Importance du facteur humain :
 Respect des règles de sécurité
 Compréhension de l'utilité des règles,
 Surcharge induit par les moyens de sécurité

 L'ingénierie sociale

20 Sécurité Informatique 2023-2024

Normes ISO pour la sécurité des systèmes
d’information
 ISO 13335 : Concepts et modèles pour la gestion de la
sécurité des TIC (1996),
 ISO 15408 : Critères communs pour l'évaluation de la
sécurité des Technologies de l'Information,
 ISO/CEI 17799 : Code de bonnes pratiques pour la
gestion de la sécurité d'information (ancienne référence
de la norme ISO/CEI 27002).

21 Sécurité Informatique 2023-2024

ISO 27000
 Série de normes dédiées à la sécurité de l'information
 ISO/CEI 27001 : Description des exigences pour la mise en place d'un Système de Management de
la Sécurité de l'Information (SMSI)
 ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l'information
(anciennement ISO/CEI 17799)
 ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) — Guide
d'implémentation
 ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information
 ISO/CEI 27005 : Proposition d'une méthode d'appréciation des risques en sécurité de l'information
(cette phase est obligatoire dans le cadre d'une certification ISO/CEI 27001)
 ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de Systèmes de
Management de la Sécurité de l'Information (SMSI)
 ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information
(SMSI).
 ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative à la santé
en utilisant l'ISO/CEI 27002
 Le standard Information Technology Security Evaluation Criteria (ITSEC) a été établi
dans ce domaine en 1991 au niveau de l‘union européenne, mais il n'a pas obtenu
le statut de norme.

22 Sécurité Informatique 2023-2024

Objectifs
Que protéger ?

• Liste des biens à protéger

De quoi les protéger ?

• Liste des menaces

Quels sont les risques ?

• Liste des impacts et probabilités

Comment protéger l’entreprise ?

• Liste des contre mesures

Démarche de la norme ISO 17799
23 Sécurité Informatique 2023-2024
Sécurité en Tunisie
 ANSI (https://www.ansi.tn/)
 Mission de veille
 Etablir des normes spécifiques
 Mission d’audit

 ANCE (https://www.tuntrust.tn/)
 Autorité de certification racine en Tunisie
 Plusieurs offres de
 certificats d'authentification
 signature électronique
 horodatage

24 Sécurité Informatique 2023-2024

Principe du dernier privilège
 Discipline de sécurité qui consiste à attribuer à un
utilisateur pas plus de privilèges qu’il n’en a besoin pour
réalise son travail
 Principe facile à planifier
 Difficile à mettre en place

25 Sécurité Informatique 2023-2024

Surface d’attaque
 Ensemble de méthodes et de moyens qu’un attaquant
peut mettre en œuvre pour s’introduire au niveau du
système et causer des dommages
 Plus la surface d’attaque est grande, plus les risques de
réussite des attaques est élevé
 3 composants :
 Applications
 Réseaux
 Employés

26 Sécurité Informatique 2023-2024

Ingénierie sociale
 Importance du facteur humain:
 Être suspicieux
 Vérification de l’identité
 Être discret
 Minimiser l’utilisation des e-mails
 Importance de la formation

27 Sécurité Informatique 2023-2024

Infogérance/Télémaintenance
 Le système d'information est n’est pas un système fermé
:
 Interactions avec des intervenants externes
 Infogérances
 Télémaintenances
 Relation contractuelle entre prestataire et client
 Exemples en télémaintenance :
 Routeurs chez des opérateurs de télécommunication
 PABX
 Imprimantes, télécopieurs, photocopieurs
 SAN : réseau de stockage de données
 Logiciels de gestion d'entreprise
28 Sécurité Informatique 2023-2024
Gestion des interactions
 Appliquer sa politique de sécurité
 Intégrer la sécurité dès le départ dans tout processus
d'infogérance et de télémaintenance
 Contractuellement, systématiquement, ne serait-ce que pour
savoir qu'il y a de la télémaintenance
 Minimiser les télémaintenance
 Créer un portail de contrôle d'accès
 Indépendamment des moyens de connexion
 Authentifier individuellement chaque intervenant
 Journaliser les connexions
 Recopier si possible la session complète des informations
qui remontent à l'extérieur

29 Sécurité Informatique 2023-2024

Principe des périmètres
 Concept de périmètre :
 Espace de responsabilité : système d'information de l'entreprise
 Espace de non responsabilité : environnement extérieur
 Appliquer la politique de sécurité entre les deux afin de
protéger l'espace de responsabilité : périmètre
 Il semble difficile de se passer de la notion de sécurité
périmétrique même si le périmètre logique est poreux :
 Connaître le périmètre
 Quelques limites du périmètre :
 Le réseau et les canaux de communication
 Les utilisateurs
 L'entreprise étendue : toutes les applications dialoguant avec
l'extérieur

30 Sécurité Informatique 2023-2024

Sécurité du local
 Contrôle d’accès
 Défonce en profondeur

31 Sécurité Informatique 2023-2024

Périmètre externe
 Première line de défonce
 Dépend de l’importance du niveau de sécurité
 Plusieurs outils et techniques :
 Caméra de sécurité
 Eclairage du parking
 Barrière basculante avec gardien
 Barrière basculante avec lecteur de carte d’accès
 …

32 Sécurité Informatique 2023-2024

Périmètre interne
 Le périmètre de sécurité interne inclus toutes les partie
entre les murs et les portes externes des locaux jusqu’à
l’espace sécurisé
 Plusieurs outils et techniques :
 Verrous
 Clés
 Caméras de sécurité
 Lecteurs de badges
 Bureaux des grades
 Détecteurs de fumet
 Tourniquets
33 Sécurité Informatique 2023-2024
Espace sécurisé
 Espaces sensibles :
 Locaux techniques
 Département de développement
 Centre de données
 Outils :
 Lecteurs de badges
 Codes d’accès
 Technologies à base de biométrie
 Scanners à rayon-X
 Détecteurs de métaux
 Caméras
 Systèmes de détection d’intrusion (physique)

34 Sécurité Informatique 2023-2024

Définitions
 Identification : …

 Authentification : …

 Autorisation : …

 Traçage des comptes : …

 « AAA » : …

35 Sécurité Informatique 2023-2024

Techniques d’authentification
 Ce que l’utilisateur sait : …

 Ce que l’utilisateur possède : …

 Ce que l’utilisateur est : …

36 Sécurité Informatique 2023-2024

Recommandations

 Utilisation de plusieurs techniques d’authentification

selon les besoins de l’application

40 Sécurité Informatique 2023-2024

Gestion des autorisations

 La gestion des autorisations accordés aux utilisateurs sur

les ressources est souvent gérée par l’organisateurs des
ressources qui n’est autre que le système d’exploitation

 Droits d’accès Windows

 …

 Droits d’accès Linux

 …

41 Sécurité Informatique 2023-2024

Utilisation de la cryptographie asymétrique pour
l’authentification
 Définition de la cryptographie asymétrique :
 Viens de la limitation des algorithmes à clé secrète :
 Problématique de l'échange de la clé de chiffrement
■ établissement préalable d'un canal sûr pour la transmission de la clef
 Nouveaux procédés : algorithmes basés sur des problèmes difficiles à
résoudre
 Logarithme discret
■ le calcul des logarithmes discrets s'avère difficile, tandis que le problème
inverse de l'exponentiation discrète ne l'est pas

 Factorisation de grands nombres

■ Multiplier deux grands nombres premiers est une fonction à sens unique;
il est facile de multiplier deux nombres pour obtenir un produit, mais
difficile de factoriser ce produit et de retrouver les deux grands nombres
premiers (ex: 437 = ? * ?)

42 Sécurité Informatique 2023-2024