Cours Audit de la sécurité

Chapitre I
Notions de base
de la sécurité informatique

Nihed REJEB
2022/2023
Plan
 Questionnaire
 Créez-vous des mots de passe qui sont faciles à mémoriser
par vos collaborateurs et difficiles à découvrir ?
 Placez-vous un double de vos sauvegardes quotidiennes dans
une pièce à l’épreuve du feu et des dégâts des eaux ?
 Essayez-vous vos sauvegardes pour vérifier qu’elles sont
complètes et utilisables ?
 Éteignez-vous vos ordinateurs individuels, afin de les rendre
inaccessibles, quand vous partez déjeuner et fermez vous vos
bureaux ?
 Questionnaire
 Vos ordinateurs portables sont-ils équipés d’un système de verrou
physique et de contrôle d’accès aux données qui les rendent inutilisables
en cas de perte ou de vol ?
 Testez-vous les logiciels et les fichiers en provenance de l’extérieur à
l’aide d’antivirus mis à jour toutes les semaines ?
 Sécurisez-vous vos connexions à Internet, à l’aide d’un firewall par
exemple ?
 Avant d’effectuer des transactions bancaires sur Internet, évaluez-vous le
mode de sécurisation proposé par le site marchand ?
 Désignez-vous un homme sécurité dans votre entreprise ?
 Disposez-vous d’un plan de secours immédiatement opérationnel en cas
de sinistre par virus, intrusion, erreur de manipulation, incident
technique… ?
 Le système d’information

 L’ensemble des moyens nécessaires à

l’élaboration, au traitement, au stockage, à
l’acheminement et à l’exploitation des
informations
 Il représente un patrimoine essentiel de
l’entreprise
 la confidentialité et la disponibilité de
l’information constitue un enjeu très
important pour la compétitivité de l’entreprise
 Problématiques
 Mauvaise réactivité de serveurs.
 Refus et plantage de différents services dans
l’Intranet.
 Contamination par des virus malgré l’existence d’une
solution d’antivirus.
 Difficulté d’accéder aux différentes ressources
partagées
 Faible débit Internet malgré les 30 Mbps en fibre
optique.
 Altération, modification ou suppression d’informations.
 Vol de matériels ou de pièces électroniques du CRI.
 Coupures électriques
 Conséquences
 Indisponibilités des systèmes,
 Manipulation des données et systèmes par des personnes
non autorisés,
 Destruction des données ou systèmes,
 Difficulté de remise en marche,
 Coûts importants de maintient en état,
 Mise en jeu de la crédibilité de l’organisme.
 Nécessités
 Perfectionner la sécurisation des Systèmes d’Information par :
 vérification de l’identité déclinée par le requérant
 gestion des droits d’accès et des autorisations
 Protéger les données stockées ou en transit sur le réseau contre
toute:
 modification non autorisée, utilisation frauduleuse ou divulgation non
autorisée.
 Etablir un diagnostic sur la qualité du fonctionnement du
système informatique actuel et proposer des mesures
susceptibles de l’améliorer.
 Prouver la crédibilité du système d’information à l’aide des
analyses effectuées.
 La sécurité du système d’information

 Ensemble de mesures de sécurité physique,

logique, administrative et de mesures
d'urgence, mises en place dans une
organisation, en vue d'assurer:
 La confidentialité des données de son système
d'information
 La protection de ses biens informatiques
 la continuité de service
 Assurer la sécurité de l’information implique
l’assurance la sécurité des systèmes
 Que couvre la sécurité en général ?

 Prévention
 Prendre des mesures afin d’empêcher les biens et
les actifs d’être attaqués.
 Détection
 Prendre des mesures afin de détecter quand,
comment, par qui un actif ou un bien a été
endommagé.
 Réaction
 Prendre des mesures après un incident de
sécurité afin de pouvoir restaurer les biens et les
actifs, ou réduire l’impact de l’incident.
 La sécurité informatique

 La science qui permet de s’assurer que celui

qui consulte ou modifie des données du
système en a l’autorisation
 Services de sécurité

 Authentification : vérifier l’identité des

personnes qui veulent manipuler
l’information
 Confidentialité : L’information ne peut être
connue que par les personnes autorisées
 Disponibilité : L’information doit être utilisable
à la demande
 Intégrité : L’information ne doit pas être
altérée, détruite par accident ou malveillance.
 Non répudiation: L’absence de possibilité de
 Services de sécurité: Authentification
 S’assurer que l’origine du message soit correctement
identifiée:
 Assurer le receveur que le message émane de la
source qui prétend avoir envoyé ce message.
 Assurer l’authenticité des entités participantes:
chacune des entités est celle qui prétende l’être.
 Empêcher la perturbation de la connexion par
une tierce partie qui se fait passer pour une
entité légitime (émission ou réception non
autorisée).
 Techniques utilisées: Cryptage, signature numérique, secret
(mots de passes, PIN).
 Services de sécurité: Contrôle d’accès

 Empêcher l’utilisation non autorisée d’une ressource

(serveur, application, etc.)
 Le service de contrôle d’accès :
 Définir qui a le droit d’accéder aux ressources ?
 Déterminer sous qu’elles conditions ceci peut avoir
lieu ?
 Défini ce qu’une entité est autorisée de faire lors de
l’accès à une ressource.
 Services de sécurité: Confidentialité
Protection des données transmises contre les attaques
passives, et protection des flux de données contre
l’analyse.
 Préservation du secret des données transmises. Seulement
les entités communicantes sont capables d’observer les
données.
 Plusieurs niveaux de confidentialité :
 Protection des données échangées durant une connexion.
 Protection des données contenues au niveau d’un seul bloc de
donnée.
 Protection de quelques champs des données échangées (pour une
connexion ou un seul bloc de donnée).
 Services de sécurité: Intégrité
 Détecter si les données ont été modifiées depuis la source
vers la destination
 Service orienté connexion: Protection contre la
duplication, la destruction, l’insertion, la
modification, le rejeu, le reclassement, etc.
 Service non orienté connexion: Protection contre
la modification uniquement.
 Techniques utilisées: cryptage, signature numérique,
contrôle d’accès, contrôle d’intégrité
 Services de sécurité: Non répudiation
 Empêche l’émetteur ou le receveur de nier
avoir transmis ou reçu un message.
 Non répudiation d’envoi: Le destinataire prouve
que la source prétendue vient démettre le
message en question.
 Non répudiation de réception: L’émetteur prouve
que son message a été reçu effectivement par la
destination prétendue.
 Techniques utilisées: signature électronique
(asymétrique), notarisation.
 Acteurs de la sécurité
 Responsable sécurité informatique
 Responsable sécurité générale
 Responsable & groupe qualité
 Direction
 Utilisateurs
 Informaticiens
 La disponibilité : Propriété ou service ?

 X.800 et RFC 2828 définissent la disponibilité

comme étant la propriété d’un système ou d’une
ressource du système accessible et utilisable suite à la
demande d’une entité autorisée.
 X.800 considère la disponibilité comme étant une
propriété associée aux services de sécurité.
 La disponibilité considérée comme un service:
 Un service qui protège un système pour assurer sa
disponibilité.
 Un service qui dépend du service de contrôle
d’accès et des autres services de sécurité.
 Intrus (Intruder) : Définition

 L’entité responsable d’une attaque de sécurité,

capable de:
 Accéder à des ressources internes propres à la cible
de l’attaque de sécurité (appelée victime) de façon
non autorisée.
 Manipuler des données propres à la victime.
 (Tenter de) contourner les mécanismes de sécurité
mis en place.
 Manipuler/agir sur le fonctionnement interne des
machines.
 Deviner/Décrypter les mots de passe utilisés pour
protéger l’accès à des comptes utilisateurs ou à des
services (type spécifique d’intrus : cracker).
 Menace : Définition
 Une menace est «un signe qui laisse prévoir un danger»
 La menace peut être une personne, un objet, ou un
événement qui peut créer un danger pour un bien (en terme
de confidentialité, intégrité ou disponibilité).
 Une menace peut provenir de l'environnement naturel,
physique ou peut être le résultat d'actions humaines.
 Exemple:

 Une attaque de sécurité est la réalisation d’une

menace.
 Exemples de menaces/attaques

 Accès non autorisé.

 Perte de l’intégrité du système.
 Déni de service.
 Les virus.
 Coupure d’électricité.
 Panne du matériel.
 Divulgation des données confidentielles.
 Vol des données.
 Destruction des données.
 Un virus circule sur le réseau local.
 Un programme installé sur la machine semble être en train
d’épuiser les ressources disponibles
 Vulnérabilité : définition

 Faille ou bug pouvant être utilisé pour obtenir un niveau

d’accès illicite à une ressource d’informations ou des
privilèges supérieurs à ceux considérés comme normaux pour
cette ressource.
 La vulnérabilité caractérise les composants du système
(matériel, logiciel, les règles, les procédures, personnel)
susceptibles d’être attaquées avec succès.
 Une vulnérabilité est exploitée par une menace pour
engendrer une attaque.
 Exemples de vulnérabilités :
 Utilisation des mots de passe non robustes.

 Présence de comptes non protégés par mot de passe.

 Autres définitions …

 La protection : Processus d’anticipation qui vise à créer un environnement

aussi sécurisé que possible.
 La détection : Processus qui vise à déterminer les activités inappropriées.
 La réaction : Processus de réponse à un incident de sécurité.
 Identification : Moyen utilisé pour identifier un utilisateur.
 Authentification : Processus de validation de l’identité d’un utilisateur.
 La disponibilité : Une ressource est disponible s’il est possible d’utiliser une
ressource lorsque c’est nécessaire.
 Risque :
 La probabilité qu'une menace exploitera une vulnérabilité du système.
 C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme
valeur une probabilité.
 La sécurité est chere et difficile: Les organisations n’ont pas de budget
pour ça

 La sécurité ne peut être sûr à 100%, elle est même souvent inefficace

 La politique de sécurité est complexe et basée sur des jugements

humains

 Les organisations acceptent de courir le risque, la sécurité n’est pas une

priorité

 De nouvelles technologies (et donc vulnérabilités) émergent en

permanence

 Les systèmes de sécurité sont faits, gérés et configurés par des hommes
Types de menaces
 Attaques d’accès

 Ingénierie sociale : L’attaquant établit des

relations avec le personnel pour obtenir des
informations sur les mots de passe, La
topologie du réseau,…
 Portes dérobées (backdoors) : injecter un
code dans la cible pour l’exploiter plus tard
 Sniffing : L’attaquant se met à l’écoute sur le
réseau pour obtenir des informations
 Attaques de modification
 Une attaque d’accès est une tentative d’accès à l’information par une
personne non autorisée. Ce type d’attaque concerne la confidentialité de
l’information.

 Une attaque de type « modification » consiste, pour un attaquant à

tenter de modifier des informations. Ce type d’attaque est dirigé contre
l’intégrité de l’information.
 Virus: un programme caché dans un autre qui peut s’exécuter et se
reproduire en infectant d’autres programmes ou d’autres ordinateurs
 Ver: un programme qui se copie lui-même mais qui n’affecte pas d’autres
fichiers  relâcher un ver dans internet permet de ralentir le trafic
 Bombe logique: un programme qui se déclenche à une date ou à un
instant donnée
 Macro virus: Ils sont insérés dans certains fichiers d’extensions doc, xls,
ppt…et ils donnent la possibilité d’exécuter de petits programmes
spécifiques sur le document qui les contient
 cheval de Troie: est un programme qui lui est un ver ou autre type de
programme aux effets pervers
 Les attaques par saturation (DOS)
 Les attaques par saturation sont des attaques informatiques qui
consiste à envoyer des milliers de messages depuis des dizaines
d'ordinateurs, dans le but de submerger les serveurs d'une
société, de paralyser pendant plusieurs heures son site Web et
d'en bloquer ainsi l'accès aux internautes.
 Le flooding: Envoyer à une machine de nombreux paquets IP de
grosse taille. La machine cible ne pourra pas traiter tous les
paquets et finira par se déconnecter du réseau.
 Le smurf: S’appuie sur le ping et les serveurs de broadcast . On
falsifie d’abord son adresse IP pour se faire passer pour la
machine cible
 Le débordement de tampon: On envoie à la machine cible des
données d’une taille supérieure à la capacité d’un paquet. Celui-ci
sera alors fractionné pour l’envoi et rassemblé par la machine
cible il y aura débordement des variables internes.
 Les attaques de répudiation

 Le IP spoofing: se faire passer pour une autre

machine en falsifiant son adresse IP (Elle est
en fait assez complexe)
 La répudiation est une attaque contre la
responsabilité. Autrement dit, la répudiation
consiste à
 tenter de donner de fausses informations ou
de nier qu’un événement ou une transaction
se soient réellement passé
 Effets d’une attaque
 Attaque passive : c’est la moins dangereuse
 Ne modifie pas l’information
 Consultation de l’information

 Attaque active : ce type d’attaque est

dangereux
 Modifie l’état d’une information, d’un serveur ou
d’une communication
 Connexion frauduleuse à un host ou un réseau
 Altération des messages en transit sur un réseau
(Denis de service)