Chapitre 5

I) Risques

Avant : les données étaient dans des dossiers physiques, il suffisait de protéger les bâtiments dans lesquels
ils étaient.

Aujourd'hui, ce sont des données numériques, elles sont donc facilement duplicables, partageables,
véhiculables (=clé USB)
 Les systèmes sont interconnectés : tout ordi, serveur, est connecté à Internet.
Le risque d'accès non autorisé ou de fraude est alors grand.

- Un système interagit avec d'autres systèmes.

- si un système compromis, c’est l'ensemble des systèmes qui est compromis.

· La vulnérabilité peut venir :

- du logiciel
- du réseau
- de l'humain
- des partenaires (s'ils ne sécurisent pas leurs systèmes, ça met en danger tout le monde)

· La vulnérabilité vient aussi :

- des mises à jour constantes des systèmes
- des mauvaises manipulations
- des pannes de courant
 des catastrophes naturelles (inondations, incendies..)

- Problème de l'externalisation (faire appel à une entreprise extérieure pour faire quelque chose qu'on
faisait en interne avant) :
Des données sensibles sont envoyées à l'étranger (qu'en est-il de la sécurité de leur système ?) : ces
données peuvent être interceptées, et comme on fait développer des applications ça pose le problème des
''backdoor''.

- Internet démultiplie les problèmes de sécurité (bcp d'utilisateurs, donc bcp de problèmes).
- On est en connexion avec plusieurs ordi, qui génèrent des données, et qui peuvent être affectés par des
virus.
- Les ordis sont connectés en permanence, les emails sont souvent la source de virus/malware.
- Problème du phishing = technique d'escroquerie qui consiste à récupérer vos données personnelles,
(mot de passe, numéro de carte bancaire ...) en vous piégeant avec un faux courrier électronique

Ne pas oublier que la VoIP passe aussi par Internet.

· Les atteintes à la confidentialité des messages :

Chaque point de passage des paquets sur Internet peut intercepter les messages, ou falsifier.
→ Programmes malveillants : on retrouve 3 familles principales :
– virus : programme qui se multiplie à l'aide d'un programme hôte. Il le modifie pour ses besoins.
– Ver (=worm) : se multiplie sans l'aide de programme. Utilise les failles de sécurité pour se reproduire.
Le meilleur moyen de se débarrasser est de fermer la faille du programme.
– Cheval de Troie (=trojan) : logiciel d'apparence légitime qui exécute des actions à l'insu de l'utilisateur
(partage de fichiers, accès secret au système..). Il ne se multiplie pas.

- Source d'infection par virus/ver = pièces jointes de mail, téléchargement sur Internet, navigation web
- Récemment naissance des virus pour appareils mobiles.
- Problèmes d'applications mobiles qui volent les données.

· Conséquence :
- Des millions d’ordinateurs « zombifier »
- Des dizaine de milliard d’euro dépenser pour lutter contre les malwares ou pour réparer les dégâts causé
- Attaque de déni de service aussi appelé attaque DDOS (Distributed Deny Of Service) :
attaque visant à perturber le fonctionnent d’un service, le ou les pirates envoient des millions de requête a
un serveur qui ne peut plus répondre

Exemple d’attaque DDOS :

- vendredi 21 octobre 2016
- attaque sur les principaux serveurs heures : Netflix, twitter, Spotify, reddit, CNN, PayPal, Pinterest, fox
new,…

- Usurpation d’identité
principe : prendre l’identité d’un utilisateur et ses droit
première forme : vol d’identifiant et de mot de passe (ou le mot de passe est deviner)
deuxième forme : falsification des paquets

- Risque économique et financier :

Perte directes : frais d’expertise, restauration d’éléments ..
Perte indirect : mesure conversation, perte de CA, perte de clients, perte d’image de marque,…

- Risque juridique :
Responsabilité civile du fait des préjudice ces causés par des tiers

L’authentification avec mots de passe peut être à risque si :

- Notées (sous le clavier, sur un post-it sur l’écran)
- Prêtes
- Trop courts
- Trop simple
Il faut donc :
- vérifier si votre mot de passe a été découvert : site internet
- ne jamais réutiliser un mot de passe
- le plus simple est d’utiliser un gestionnaire de mot de passe : site internet
- utiliser l’authentification en deux étape

- Risque liées au mot de passe :

- Accès du SI
- Usurpation d’identité
- Vol de données sensible
- Atteintes aux données personnelles

- Politique de mot de passe :

Unique
Long et complexe
Modifié régulièrement
Pas dans le dictionnaire
Aucune référence à des données personnelles (prénom de l’enfant, du chien,..)
Problème de la question de secours

II) Détection des menaces

Nature des principales menaces :

- Accidents : d’origine naturels, perte de service (électricité, internet),
- Erreur : utilisation ou problème de conception des logiciels
- Malveillance :
- Vol de données ou matériel
- Sabotage
- Attaque logiques (virus, « trojan »)
- Divulgation d’information a de tiers

- marché mondial de la sécurisation des SI : 96milliards de dollars par an (2018), en croissance constante
- exigences juridiques : contraignent les entreprise à protéger l’intégrité de l’information afin de fournir
des information financière exactes
- la loi impose aux entreprise d’assurer l’intégrité, la confidentialité et l’exactitude des données.

- lors d’une poursuite judiciaire, un entreprise devra répondre à une demande d’accès à l’information
- il faut donc une politique efficace de conservation des documents électronique… se serait-ce que pour
des questions juridiques
- Exigences judiciaires potentielles : récupérer des données dans un ordinateur en tant que preuve…

III) Mesure de sécurité

- Mesure de sécurité physique :
Protection de sources d’énergies
Protection de l’environnement (incendie, température…)
Protection des accès (carte magnétique,…)

- Mesure de sécurité logique :

Identifier et authentification
Application de droits d’utilisation

- Mesure de sécurité applicative :

développement d’application en prenant en compte les contraintes de sécurité et les contrainte de
l’entreprise
Sécurité des télécommunication :
Pare-feu (« firewall ») : ensemble de matériels et logiciels qui filtre les accès en un réseau interne externe
Cryptage à clés symétrique et asymétrique

- Politique de sauvegarde
- Définie en fonction du volume de données et de la durée de conservation

- Il faut définir :
- les périmètres à sauvegarder (services, matériels, sites, utilisateurs,…)
- les types de données sauvegardées (fichier, utilisateur, fichier serveurs, document,…)
- la fréquence de sauvegarde fichiers utilisateurs, fichiers serveurs, documents, etc.)
- La fréquence de sauvegarde et la périodicité de rotation des sauvegardes

- Exemple de procédure de sauvegarde :

- Sauvegarde journalière doublé et utilisée toute les deux semaine
- Sauvegarde mensuelle conservé un an
- Sauvegarde annuelle archivée définitivement

- Méthode de sauvegarde :
- Sauvegarde complète
- Différentielle, un sauvegarde complète avant

- Ne pas oublier de tester régulièrement toutes les sauvegarde et de les restaurer

IV) Outils et technologies pour la sécurisation des SI

- Objectifs de la sécurité informatique :
- Disponibilité
- Intégrité
- Confidentialité
- Preuve : qui fait quelle action quand, non répudiation : pouvoir nier qu’une action a eu lieu
- Respect de la réglementation

- Contrôle de l’accès :
- Bloquer l’accès aux personnes non autorisé (en interne et externe)
- Pour bénéficier d’un accès, il faut être autorise et être authentifié
- L’authentification par mot de passe pose beaucoup de problème (oubli, partage, mot de passe a sécurité
faible, même mot de passe pour plusieurs services, etc.)
- Possibilité d’authentification biométrique :
- S’appuie sur les mensuration ou trait de comportement
- Empreinte digitale, visage, empreinte rétinienne
- Cout
- Problème de vie privée…

- Système de détection d’intrusion :

- En plus du pare feu
- Surveillance du trafic en continue
- Détecte des comportement suspects
- Accès suspect sur les fichiers critiques
- Utilisation de protocoles suspects

- Antivirus :
- sur toutes les machines et sur les erreurs
- vérifie les disque et les systèmes
- vérifie les disque externe (clé USB,…)
- détecte les zones infectées et les nettoie
- doit être continuellement mis a jour

- Sécurité des réseaux sans fil :

- Utiliser WPA à la place de WEP
- Crypter toutes les transaction (https..)
- Utiliser des certificat et les signature numérique
- Attention aux puces RFID

- Considérez que tout ce que vous faites en ligne sera public

- Ne considérez pas les paramètre de vie privé et l’utilisation de mot passe comme des remparts au point
précédent
- Quand vous renseigner des information, considérez que vous donnez le contexte associé
- Considéré que la liste de vos achats par le carte bleue sera un jour publique
- Les données ne disparaisse pas, même quand vous les supprimez