Académique Documents
Professionnel Documents
Culture Documents
Pour parer ces éventualités, les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser
les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l'information, reste la
sécurisation de l'information stratégique et militaire : Le Department of Defense (DoD) des États-Unis est à l'origine
du TCSEC, ouvrage de référence en la matière. De même, le principe de sécurité multi-niveau trouve ses origines
dans les recherches de résolution des problèmes de sécurité de l'information militaire.
Aujourd'hui, l'hypothèse réaliste demeure que la sécurité ne peut être garantie à 100 % et requiert le plus souvent la
mobilisation d'une panoplie de mesures y compris celle des « leurres » reposant sur l'idée qu'interdire ou en tout cas
protéger l'accès à une donnée peut consister à fournir volontairement une information « calibrée et visible » servant
de paravent à l'information sensible…
Démarche générale
Pour sécuriser les systèmes d'information, la démarche consiste à :
• évaluer les risques et leur criticité : quels risques et quelles menaces, sur quelle donnée et quelle activité, avec
quelles conséquences ?
On parle de « cartographie des risques ». De la qualité de cette cartographie dépend la qualité de la sécurité qui
va être mise en œuvre.
• rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment ?
Etape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en compétences et en
argent), seules certaines solutions pourront être mises en oeuvre.
• mettre en œuvre les protections, et vérifier leur efficacité.
C'est l'aboutissement de la phase d'analyse et là que commence vraiment la protection du système
d'information. Une faiblesse fréquente de cette phase est d'omettre de vérifier que les protections sont bien
efficaces (tests de fonctionnement en mode dégradé, tests de reprise de données, tests d'attaque malveillante,
etc.)
systèmes de messagerie.
• Utilisation illicite des matériels
Détournement d'utilisation normale : Utilise un défaut d'implantation ou de programmation de manière à faire
exécuter à distance par la machine victime un code non désiré, voire malveillant.
Fouille : En cas de mauvaise gestion des protections informatiques, celles-ci peuvent être contournées et
laisser accéder aux fichiers de données par des visiteurs non autorisés.
Mystification : Simulation du comportement d'une machine pour tromper un utilisateur légitime et s'emparer
de son nom et mot de passe
Trappe : Fonctionnalité utilisée par les développeurs pour faciliter la mise au point de leurs programmes.
Lorsqu'elle n'est pas enlevée avant la mise en service du logiciel, elle peut être repérée et servir de point de
contournement des mesures de sécurité.
Asynchronisme : Ce mode de fonctionnement crée des files d'attente et des sauvegardes de l'état du système.
Ces éléments peuvent être détectés et modifiés pour contourner les mesures de sécurité
Souterrain : Attaque ciblée sur un élément supportant la protection du SI et exploitant une vulnérabilité
existant à un niveau plus bas que celui utilisé par le développeur pour concevoir/tester sa protection.
Salami : Comportement d'un attaquant qui collecte des informations de manière parcellaire et imperceptible,
afin de les synthétiser par la suite
en vue d'une action rapide. (méthode fréquemment utilisée pour les détournements de fonds)
Inférence sur les données : L'établissement d'un lien entre un ensemble de données non sensibles peut
permettre dans certains cas de déduire quelles sont les données sensibles.
• Altération des données
Interception : C'est un accès avec modification des informations transmises sur les voies de communication
avec l'intention de détruire les messages, de les modifier, d'insérer des nouveaux messages, de provoquer un
décalage dans le temps ou la rupture dans la diffusion des messages.
Balayage (scanning): La technique consiste à envoyer au SI des informations afin de détecter celles qui
provoquent une réponse positive. Par suite l'attaquant peut analyser les réponses reçues pour en dégager des
informations utiles voire confidentielles ( nom des utilisateurs et profil d'accès )
• Abus de Droit
Abus de droit : caractérise le comportement d'un utilisateur bénéficiaire de privilèges systèmes et/ou
applicatifs qui les utilise pour des usages excessifs , pouvant conduire à la malveillance .
• Usurpation de Droit
Accès illégitimes : Lorsqu'une personne se fait passer occasionnellement pour une autre en usurpant son
identité
Déguisement : Désigne le fait qu'une personne se fait passer pour une autre de façon durable et répétée en
usurpant son identité, ses privilèges ou les droits d'une personne visée.
Rejeu : Variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de
connexion d'un utilisateur légitime et enregistrée à son insu.
Substitution : Sur des réseaux comportant des terminaux distants, l'interception des messages de
connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que
le système ne remarque le changement d'utilisateur.
Faufilement : Cas particulier où une personne non autorisée franchit un contrôle d'accès en même temps
qu'une personne autorisée.
• Reniement d'actions
Sécurité des systèmes d'information 5
Le reniement (ou répudiation) consiste pour une partie prenante à une transaction électronique à nier sa
participation à tout ou partie de l'échange d'informations, ou à prétendre avoir reçu des informations
différentes (message ou document) de ceux réputés avoir été réalisés dans le cadre du SI.
Informations sensibles
Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui
peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir
une sensibilité différente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine
informationnel à protéger.
Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.
Sécurité des systèmes d'information 6
Critères de sécurité
La sécurité peut s'évaluer suivant plusieurs critères :
• Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes
autorisées.
• Intégrité : garantie que les éléments considérés sont exacts et complets.
• Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.
D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il s'agisse en fait de fonctions
de sécurité), tels que :
• Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et
que ces traces sont conservées et exploitables.
Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être estimés en fonction
des menaces qui pèsent sur les éléments à protéger. Il faut pour cela estimer :
• la gravité des impacts au cas où les risques se réaliseraient,
• la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence).
Dans la méthode EBIOS, ces deux niveaux représentent le niveau de chaque risque qui permet de les évaluer (les
comparer).
Dans la méthode MEHARI, le produit de l'impact et de la potentialité est appelé « gravité ». D'autres méthodes
utilisent la notion de « niveau de risque » ou de « degré de risque ».
Menaces
Les principales menaces auxquelles un système d’information peut être confronté sont :
• un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information a pour
origine un utilisateur, généralement insouciant. Il n'a pas le désir de porter atteinte à l'intégrité du système sur
lequel il travaille, mais son comportement favorise le danger ;
• une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à
accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès. Le cas fréquent est
de passer par des logiciels utilisés au sein du système, mais mal sécurisés;
• un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par
mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des
données confidentielles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ;
• un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte
de matériel et/ou de données.
Sécurité des systèmes d'information 7
Objectifs
Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression
de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un
objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement
opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système
d'information.
Conception globale
La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est
alors caractérisée par le niveau de sécurité du maillon le plus faible.
Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :
• la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les
anglophones utilisent le terme awareness) ;
• la sécurité de l'information ;
• la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers
réparti ;
• la sécurité des réseaux ;
• la sécurité des systèmes d'exploitation ;
• la sécurité des télécommunications ;
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes
utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).
Défense en profondeur
Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense en profondeur revient
à sécuriser chaque sous-ensemble du système, et s'oppose à la vision d'une sécurisation du système uniquement en
périphérie. De façon puriste, le concept de défense en profondeur signifie que les divers composants d'une
infrastructure ou d'un système d'information ne font pas confiance aux autres composants avec lesquels ils
interagissent. Ainsi, chaque composant effectue lui-même toutes les validations nécessaires pour garantir la sécurité.
En pratique, ce modèle n'est appliqué que partiellement puisqu'il est habituellement impraticable de dédoubler tous
les contrôles de sécurité. De plus, il peut même être préférable de consolider plusieurs contrôles de sécurité dans un
composant réservé à cette fin. Ce composant doit alors être considéré comme étant sûr par l'ensemble du système.
Sécurité des systèmes d'information 8
Politique de sécurité
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et
ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes
permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été
octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer
les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute
confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité,
c'est-à-dire :
• élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation
(autour de l'informatique) ;
• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
• sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ;
• préciser les rôles et responsabilités.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre,
elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs
du système.
d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité,
statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).
• Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux
d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux
d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le
problème des canaux cachés.
• Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.
Moyens techniques
De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il
convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques
pouvant répondre à certains besoins en termes de sécurité du système d'information :
• Contrôle des accès au système d'information ;
• Surveillance du réseau : sniffer, système de détection d'intrusion ;
• Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie ;
• Emploi de technologies ad hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, anti-spam, anti-logiciel
espion) ;
• Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement.
Dépenses gouvernementales
Voici à titre de comparaison les budgets de quelques agences gouvernementales qui s'intéressent à la cybersécurité :
• Cyber Command américain pour l'année 2013 : 182 millions de dollars américains[6].
• Agence nationale de la sécurité des systèmes d'information française : 90 millions d'euros pour l'année 2012[7].
• Bundesamt für Sicherheit in der Informationstechnik allemand : 70 millions d'euros en 2011[8].
Notes et références
[1] JF Pillou, Tout sur les sytèmes d'information, Paris Dunod 2006, Collect° Commentcamarche.net
[2] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ Guide650-2006-09-12. pdf
[3] http:/ / fr. wikipedia. org/ wiki/ M%C3%A9thode_harmonis%C3%A9e_d%27analyse_des_risques
[4] Source : Les Échos, Entreprises & Marchés, p. 19, 19 juin 2008
[5] Pierre Tran, Thales Combines Cybersecurity Efforts (http:/ / www. defensenews. com/ story. php?i=6968682& c=EUR& s=TOP), Defense
News, le 1er juillet 2011.
[6] STATEMENT OF GENERAL KEITH B. ALEXANDER COMMANDER UNITED STATES CYBER COMMAND BEFORE THE HOUSE
COMMITTEE ON ARMED SERVICES SUBCOMMITTEE ON EMERGING THREATS AND CAPABILITIES (http:/ / www. au. af. mil/
au/ awc/ awcgate/ postures/ posture_cybercom_20mar2012. pdf)
[7] Définition de l'ANSSI sur le site tayo.fr (http:/ / www. tayo. fr/ anssi--agence-nationale-securite-des-systeme-information--definition-news.
php)
[8] Bundesamt für Sicherheit in der Informationstechnik (BSI) (http:/ / www. sicherheitsforschung-europa. de/ servlet/ is/ 11988/ )
Sources et contributeurs de l’article 11
Licence
Creative Commons Attribution-Share Alike 3.0 Unported
//creativecommons.org/licenses/by-sa/3.0/