Académique Documents
Professionnel Documents
Culture Documents
2022
|Academy
1/ Préliminaires
|Academy
Plan de la leçon
Table 1: Outline
La situation actuelle : nous sommes terriblement en danger !
Activité Format Duration(min.) Day N°
1- Autour de la Eléments autour de la PDF,
5 min 1
communication communication Vidéo
2 – Autour de la
Terminologies autour de PDF,
sécurité 5 min 1
la sécurité Vidéo
Introduction générale
Structure de la leçon
La structure de la leçon est la suivante. La première section présente quelques termes
clés autour du réseau. La deuxième section présente des terminologies autour de la
cybersécurité. La troisième section met en exergue les liens entre donnée,
cybersécurité et cybercriminalité. La dernière section illustre les services de sécurité à
garantir.
|Academy
1. Autour de la communication
Un réseau informatique est une mise en connexion de composantes hétérogènes ou
homogènes via des canaux filaires ou sans fil. Il trouve son utilité à partir du moment
où des entités différentes souhaitent échanger les informations. Analogiquement,
lorsqu’une personne veut communiquer avec une ou plusieurs personnes, le
problème de sécurité entres les personnes impliquées se pose : il faut se rassurer de
l’identité des communicateurs, il faut se rassurer de la codification de la
communication (par exemple, l’utilisation de la langue vernaculaire) pour rendre
difficile la compréhension … L’interconnexion similairement, pose un sérieux
problème de sécurité d’échanges. Plus compliqué, si Internet est le moyen de
fédération des communications parce qu’il s’agit d’un lieu où on ne connait
personne. La sécurité vise donc à sécuriser quatre éléments d’échange qui sont :
• L’émetteur : il s’agit de l’objet qui initie la communication. Cet objet peut être
un processus, un système d’exploitation, un utilisateur, un navigateur, une
application etc..
• Le récepteur : il s’agit de l’objet qui reçoit la communication. Cet objet peut
être un processus, un système d’exploitation, un utilisateur, un serveur etc..
• Le canal de communication : il s’agit du moyen par lequel l’émetteur et le
récepteur communique. Il s’agit d’un canal sans fil, d’un canal filaire, de la
mémoire, etc…
Des protocoles de communication : Il s’agit d’un ensemble convenu de règles
de communication entre les deux communicateurs. Comme exemple, on peut
avoir le protocole HTTP (HyperText Transfer Protocol).
La figure 1 met en exergue la sécurité des quatre éléments. Si l’un des éléments reste
non contrôlé, alors les autres éléments sont exposés à des activités dangereuses.
|Academy
La communication peut être bidirectionnelle c’est-à-dire dans les deux sens. Les
bonhommes représentent les protocoles qui sont une sorte de police qui établit les
règles de fonctionnement.
2. Autour de la sécurité
La sécurité est un processus continu de protection d'un objet contre tout accès non
autorisé. Il vise à protéger les ressources telles qu’une personne, une entreprise, un
système informatique ou un fichier, des actions visant à nuisibles.
La sécurité est garantie si les quatre mécanismes de protection suivants sont mis en
place.
|Academy
temps réel ou stockées pour une analyse approfondie par le personnel de
sécurité. Les systèmes de détection d’intrusion en général et les antivirus en
particulier sont des exemples.
• Réponse: Il s’agit d’un mécanisme post-effet qui tente de répondre à l'échec
des trois premiers mécanismes. Cela fonctionne en essayant d’arrêter et / ou
empêcher de futurs dommages ou l'accès à une installation. La réponse est très
importante pour ralentir la contamination de l’infiltration.
|Academy
attaques numériques. Ces attaques visent généralement à accéder, modifier ou détruire des
informations sensibles; extorquer de l'argent aux utilisateurs; ou interrompre les processus
commerciaux normaux ».
|Academy
services sont destinés à contrer les attaques contre la sécurité et ils utilisent un ou
plusieurs mécanismes de sécurité pour fournir le service.
Une attaque survient s’il y a une vulnérabilité exploitée par une personne malicieuse
pour inférer une menace. Selon le RFC 4949, une vulnérabilité est une faiblesse d’un
système telle que la longueur d’un mot de passe qui est de 2. Une menace est un
risque potentiel de violation de la sécurité, qui existe lorsqu'il existe une circonstance,
une capacité, une action ou un événement susceptible de porter atteinte à la sécurité
et de causer des dommages. Autrement dit, une menace est un danger potentiel qui
pourrait exploiter une vulnérabilité. Une attaque suit donc une menace.
Les individus qui opèrent des attaques sont appelées hackers, ou pirates etc.. Dans le
cadre de ce cours, ces personnes malintentionnées correspondent aux cybercriminels
ou attaquants. La personne, organisation ou objet victime est appelé cible.
L’intention des attaquants se résume en plusieurs objectifs :
Sources de menaces
Les menaces sont initiées de diverses sources incluant des personnes physiques,
morales et des gouvernements. Les acteurs malveillants comprennent:
• Les individus qui créent des vecteurs d'attaque en utilisant leurs propres
outils logiciels ;
|Academy
• Des organisations criminelles gérées comme des sociétés, avec un grand
nombre ; d'employés développant des vecteurs d'attaque et exécutant des
attaques ;
• Les états nations dans le cadre de cyber guerres ;
• Les terroristes ;
• Les espions industriels ;
• Les groupes de criminels organisés ;
• Les concurrents commerciaux.
Le Dark Web est le lieu par excellence du marché d’attaques dans lequel les
attaquants vendent leurs techniques d’attaques et sont directement recrutés.
On y reviendra dans une leçon pour décrire spécifiquement les caractères des acteurs
malveillants.
Que sécurise-t-on ?
On sécurise des ressources logicielles et matérielles. Comme ressources matérielles,
on peut citer les mémoires de masse (disque dur, processeur, mémoire …), et les
périphériques (ordinateurs, imprimantes, serveurs). Comme ressources logicielles, on
distingue les accès (aux serveurs, aux fichiers, …), les fichiers, les répertoires, les
partitions, etc… Une ressource peut être sensible dans ce sens qu’elle est
confidentielle ou personnelle. Une ressource peut être critique dans ce sens qu’elle
est requise pour le bon fonctionnement d’un service. Une ressource peut être
exploitable dans ce sens qu’elle est utilisée indirectement par l’attaquant pour
atteindre son objectif. Certaines personnes pensent qu’elles peuvent se passer de la
sécurité car elles ne détiennent rien de sensible. Cette pensée est fausse car les
attaquants peuvent exploiter les ressources de votre ordinateur pour atteindre leurs
cibles. Dans ce cas votre ordinateur est une ressource exploitable. Ainsi, vous serez
complice de meurtre numérique.
3. Autour du cyberespace
Donnée, cybercriminalité & cybersécurité
Nous sommes à l’ère des données où celui qui est capable d’en donner un sens
est le plus puissant. Une donnée représente un objet qui a une valeur selon son
contenu. La donnée renvoie une information qui permet d’évaluer la criticité. Elle est
|Academy
traitée et sauvegardée par les objets de l’IoT. Elle est acheminée entre les pairs de
communication dans l’IoT.
La cybercriminalité est entendue comme l’ensemble des infractions pénales
commises sur les réseaux de télécommunication, en particulier Internet. Elle se
manifeste par des attaques informatiques et de vols de données, menées en grande
partie par des groupes de criminels. Elles ciblent principalement les individus, les
institutions gouvernementales et les entreprises de taille moyenne qui ont des
opérations commerciales dépendant d’Internet.
La cybersécurité est l’ensemble des stratégies de lutte contre les cybermenaces
afin de se protéger et protéger les individus. Ces stratégies peuvent être légales,
techniques, éducatrices, ou managériales. Les gouvernements doivent intensifier ces
mécanismes pour accompagner les processus d’économie numérique, gages d’un
développement durable.
La cybercriminalité est réalisée par les cybercriminels et la cybersécurité par
les cyber-policiers tels que la police scientifique et les administrateurs de parcs
informatiques. Les notions : donnée, cybersécurité et cybercriminalité sont
étroitement liés. Le cybercriminel traque les données des utilisateurs. Ces derniers
font recours aux cyber-policiers ou eux-mêmes se transforment en cyber-policiers
pour protéger et récupérer ces données par le biais des techniques de la
cybersécurité.
4. Services de sécurité
Confidentialité
Les personnes sont prêts à protéger leurs informations sensibles et privées tel que les
informations personnelles (PI – Personal Information) contre tout accès non autorisé.
La protection de la confidentialité dépend de la capacité de définir et d'appliquer
certains niveaux d'accès aux informations. Dans certains cas, cela implique de
séparer les informations en divers groupes organisés en niveau de privilèges et à
évaluer la criticité de ces informations - c'est-à-dire l’impact encouru subis si la
confidentialité a été violée. Certains des moyens les plus couramment utilisés pour
|Academy
gérer la confidentialité comprennent les listes de contrôle d'accès, le chiffrement des
volumes et des fichiers et les autorisations de fichiers Unix. La confidentialité est
garantie par les algorithmes à chiffrement symétrique et asymétrique.
Intégrité
Il s'agit d'un élément essentiel de la triade CIA, conçu pour protéger les données
contre la suppression ou la modification de toute partie non autorisée. Elle garantit
que lorsqu'une personne autorisée effectue une modification qui n'aurait pas dû être
effectuée, les dommages peuvent être inversés. Elle est assurée par les algorithmes de
chiffrement et de hachage.
Disponibilité
Il s'agit du dernier élément de la triade CIA. Il fait référence à la disponibilité réelle
des données. Les mécanismes d'authentification, les canaux d'accès et les systèmes
doivent tous fonctionner correctement pour les informations qu'ils protègent et
s'assurer qu'ils sont disponibles en cas de besoin. Un serveur Web par exemple doit
être capable de délivrer las pages hébergées en son sein 24H/24. Les systèmes de
sécurité doivent être tolérant aux pannes matérielles et logicielles et prévoir des
mécanismes de sauvegarde fiable.
Non répudiation
Le service de non répudiation exploite les autres services. Dieu recommande de ne
pas répudier sa femme. C’est-à-dire de ne pas nier qu’il s’agisse bel et bien de notre
femme. C’est la même logique dans le cadre de la sécurité. Ce service de sécurité
fournit une preuve d'origine et la prestation de services et/ou d'informations. Il
empêche l'expéditeur ou le destinataire de refuser un message transmis. Ainsi,
|Academy
lorsqu'un message est envoyé, le destinataire peut prouver que l'expéditeur présumé
a effectivement envoyé le message. Pour illustrer cela, prenons le système de guichet
automatique. Une opération bancaire lancée à partir de votre carte ne peut être
réfutée. Les moyens pour le garantir peuvent être la signature numérique et les
algorithmes cryptographiques.
Conclusion et Recommandations
Cette leçon avait pour objectif de présenter les termes clés et terminologies qui
entourent le domaine de la cybersécurité. Le jargon est vraiment riche et requiert que
chaque apprenant utilise chaque terme à sa place.
Exercices d’apprentissage
1) Donner et expliquer 03 certifications internationales qui couvrent les domaines
de la sécurité.
2) Expliquer les différences fondamentales entre le cybersécurité et la sécurité
des systèmes d’information.
3) Une menace vient-elle avant la découverte d’une vulnérabilité ? Justifier.
4) Peut-on menacer sans exploiter une vulnérabilité ?
5) Considérant le système de banque à guichet automatique. Lequel des services
de sécurité est le plus prioritaire ? Justifier.
6) Même question que 5) dans le cas d’un serveur Web.
Biographie de l’auteur
|Academy
transformation numérique et les stratégies de gouvernance numérique et de l’Intelligence
Artificielle. Il est l'auteur de plusieurs ouvrages (livre et chapitres) et de nombreux articles de
recherche dans le domaine de la cybersécurité. Il est le fondateur de la société de CyComAI -
Cybersecurity with Computational and Artificial Intelligence (www.cycomai.com). En tant
qu’expert scientifique et cadre professionnel, il a été impliqué dans plusieurs projets
internationaux sur l’innovation pédagogique, technologique et scientifique. Dévoué au
bénévolat dans des revues et conférences scientifiques, il est actuellement membre senior de
nombreuses sociétés : EAI, ISOC SIG Cybersecurity, ISOC SIG Cybersecurity Training and
Education, Research Data Alliance (RDA), AuthorAID, Africa Association of Entrepreneurs
(AAE), et International Association for the Engineers and the Computer Scientists (IAENG).
Il est actuellement le représentant camerounais de Responsibility in AI in Africa (RAIN) et
ses intérêts incluent la cybersécurité, l'intelligence artificielle/numérique et la gouvernance
numérique. Pour l'instant, il propose des stratégies de gouvernance et de transformations
numériques et s'active à concevoir des outils de sécurité IA responsables s'appuyant sur
l'intelligence collective des technologies sociales autour des personnes.