Système d’information et sécurité financière

22 novembre 2021
 LA GOUVERNANCE ET LE FONCTIONNEMENT DES SYSTÈMES
D’INFORMATION
Introduction

1. La gestion des projets informatiques

1. Acteurs participants à la réalisation des projets : maitrise d’ouvrage, maitrise d’œuvre

2. Les grands types de méthodes projets : méthode agile et méthode en cycle

3. Intégration de la sécurité informatique dans les projets

2. Gestion de l’exploitation d’un SI bancaire

1. Les différents services fournis par l’exploitation : méthode ITIL

2. Définir une défense en profondeur

3. Contrôle interne des activités informatiques

3. Architecture d’un système d’information

1. Fonctionnement des réseaux IP : modèle OSI

2. Les composants informatiques : infrastructure, application et base de données

Système d’information et sécurité

2
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Fonctionnement des réseaux IP : modèle OSI

Application Application

Présentation Présentation

Session Session

Transport Transport

réseau réseau réseau réseau

Liaison de données Liaison de données Liaison de données Liaison de données

Physique Physique Physique Physique

Système d’information et sécurité

3
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Couche présentation
Décimal Octal Hex Binaire Caractère
------- ----- --- -------- ------
048 060 30 00110000 0 076 114 4C 01001100 L 105 151 69 01101001 i
049 061 31 00110001 1 077 115 4D 01001101 M 106 152 6A 01101010 j
050 062 32 00110010 2 078 116 4E 01001110 N 107 153 6B 01101011 k
051 063 33 00110011 3 079 117 4F 01001111 O 108 154 6C 01101100 l
052 064 34 00110100 4 080 120 50 01010000 P 109 155 6D 01101101 m
053 065 35 00110101 5 081 121 51 01010001 Q 110 156 6E 01101110 n
054 066 36 00110110 6 082 122 52 01010010 R 111 157 6F 01101111 o
055 067 37 00110111 7 083 123 53 01010011 S 112 160 70 01110000 p
056 070 38 00111000 8 084 124 54 01010100 T 113 161 71 01110001 q
057 071 39 00111001 9 085 125 55 01010101 U 114 162 72 01110010 r
058 072 3A 00111010 : 086 126 56 01010110 V 115 163 73 01110011 s
059 073 3B 00111011 ; 087 127 57 01010111 W 116 164 74 01110100 t
060 074 3C 00111100 < 088 130 58 01011000 X 117 165 75 01110101 u
061 075 3D 00111101 = 089 131 59 01011001 Y 118 166 76 01110110 v
062 076 3E 00111110 > 090 132 5A 01011010 Z 119 167 77 01110111 w
063 077 3F 00111111 ? 091 133 5B 01011011 [ 120 170 78 01111000 x
064 100 40 01000000 @ 092 134 5C 01011100 \ 121 171 79 01111001 y
065 101 41 01000001 A 093 135 5D 01011101 ] 122 172 7A 01111010 z
066 102 42 01000010 B 094 136 5E 01011110 ^ 123 173 7B 01111011 {
067 103 43 01000011 C 095 137 5F 01011111 _ 124 174 7C 01111100 |
068 104 44 01000100 D 096 140 60 01100000 ` 125 175 7D 01111101 }
069 105 45 01000101 E 097 141 61 01100001 a 126 176 7E 01111110 ~
070 106 46 01000110 F 098 142 62 01100010 b 127 177 7F 01111111 DEL
071 107 47 01000111 G 099 143 63 01100011 c
072 110 48 01001000 H 100 144 64 01100100 d
073 111 49 01001001 I 101 145 65 01100101 e
074 112 4A 01001010 J 102 146 66 01100110 f
075 113 4B 01001011 K 103 147 67 01100111 g
076 114 4C 01001100 L 104 150 68 01101000 h
Système d’information et sécurité
4
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Couche session
POST /contact_form.php HTTP/1.1 GET / HTTP/1.1
Host: developer.mozilla.org Host: developer.mozilla.org
Content-Length: 64 Accept-Language: fr
Content-Type: application/x-www-form-urlencoded name=Joe%20User&request=Send%20me%20one%20of%20your%20catalogue

HTTP/1.1 200 OK Demander un page Demander un page

Date: Sat, 09 Oct 2010 14:28:02 GMT Server:
Méthode : POST Méthode : GET
Apache Last-Modified: Tue, 01 Dec 2009 20:18:22 GMT
ETag: "51142bc1-7449-479b075b2891b"
Accept-Ranges: bytes
Content-Length: 29769 Content-Type: text/html
Envoyer une réponse
Code : 200
<!DOCTYPE html... (here comes the 29769 bytes of the requested web page)
HTTP/1.1 301 Moved Permanently Déplacé définitivement
Server: Apache/2.2.3 (Red Hat)
Content-Type: text/html; charset=iso-8859-1 Code : 301
Date: Sat, 09 Oct 2010 14:30:24 GMT
Location: https://developer.mozilla.org/ (this is the new link to the resource; it is expected that the user-agent will fetch it)
Keep-Alive: timeout=15, max=98
Accept-Ranges: bytes
Via: Moz-Cache-zlb05
Connection: Keep-Alive
X-Cache-Info: caching
X-Cache-Info: caching
Content-Length: 325 (the content contains a default page to display if the user-agent is not able to follow the link)

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head> <title>301 Moved Permanently</title> </head>
<body> <h1>Moved Permanently</h1> <p>The document has moved <a href="https://developer.mozilla.org/">here</a>.</p>
<hr> <address>Apache/2.2.3 (Red Hat) Server at developer.mozilla.org Port 80</address> </body></html>
HTTP/1.1 404 Not Found
Date: Sat, 09 Oct 2010 14:33:02 GMT
Server: Apache N’existe pas
Last-Modified: Tue, 01 May 2007 14:24:39 GMT
ETag: "499fd34e-29ec-42f695ca96761;48fe7523cfcc1"
Code : 404
Système
Accept-Ranges: bytes Content-Length: 10732 Content-Type: d’information
text/html et sécurité
5
financière
<!DOCTYPE html... (contains a site-customized page helping the user to find the missing resource)
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Fonctionnement des réseaux IP : modèle OSI

Interprétation et restitution des données dans un programme :

Application
-> par exemple Firefox HTTP
Définition d’un format interprétable :
Présentation
-> par exemple format ASCII
Permettre la synchronisation des données et la reprise sur erreur
Session
-> par exemple RPC
Fiabiliser le transport de données en assurant une bonne
Transport synchronisation entre le destinataire et l’émetteur
-> TCP ou UDP
réseau
Adresser un destinataire au sein du réseau
-> IPv4 ou IPv6
Assurer un échange entre deux nœuds voisins – détection et
Liaison de données
correction des erreurs – Adresse MAC
Emettre un signal – interpréter un signal
Physique -> signal électrique, signal électromagnétique
6
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Fonctionnement des réseaux IP : modèle OSI
SSH / LDAP / FTP / Telnet / SMB / NNTP / DNS / SNMP / XMPP / SMTP / POP3 / IMAP /
Application IRC / RTP / WebDAV / SIMPLE / HTTP / Modbus / CLNP / EIGRP / SIP / DHCP / CANopen /
TCAP / RTSP / BGP / SOAP / RIP / OSPF / IS-IS / Gopher

Message Videotex / TDI / ASN.1 / UUCP / XDR / TLS / SSP / AFP / ASCII / Unicode
Présentation / NCP
ou flux

Session NetBios / RPC / AppleTalk

Datagramme Transport UDP / SCTP / TCP / TCP / DCCP / SPX

IP / IPv4 / IPv6 / IPX / IGMP /WDS / NetBEUI / DHCP / ICMP / EIGRP /

Paquet réseau ARP

Trames Liaison de données Ethernet / SPB / ATM / CAN / PPP / BitNet / LocalTalk / Ethernet / MPLS

Physique Codage NRZ / WI-FI / Bluetooth / Thunderbolt / VDSL / ADSL / SDSL / Cable Coaxial

Système d’information et sécurité

7
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Couche Physique, liaison de données, réseau

Adresser un destinataire au sein du réseau

réseau -> IPv4 ou IPv6

Liaison de Assurer un échange entre deux nœuds voisins – Carte réseau avec une adresse @MAC unique :
détection et correction des erreurs – Adresse MAC
données 01:00:5E:01:2E:16

Physique
Emettre un signal – interpréter un signal Carte réseau avec une adresse @MAC unique :
-> signal électrique, signal électromagnétique
01:00:5E:03:DE:01

Signal électrique sous forme de trame

Trame 1 : 000000000011111111110
Trame 2 : 001010011010100101010 8
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Couche Physique, liaison de données, réseau

Adresser un destinataire au sein du réseau

réseau -> IPv4 ou IPv6

Liaison de Assurer un échange entre deux nœuds voisins –

données détection et correction des erreurs – Adresse MAC

Emettre un signal – interpréter un signal

Physique
-> signal électrique, signal électromagnétique

Couche liaison de données : Ethernet

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 à 1513 1514 1515 1516 1517

Type de
Adresse MAC destination Adresse MAC source Données FCS/CRC
protocole

Système d’information et sécurité

9
financière
C1 - Interne
 0/1 : Non utilisé
1 le paquet ne peut pas être
fragmenté
ARCHITECTURE DU SYSTÈME D’INFORMATION 0 le paquet peut être
fragmenté
1 des fragments vont suivre
0 il s’agit du dernier
Fonctionnement des réseaux IP : modèle OSI fragment

Application
Couche réseau : IPv4 216-1
Version (4 bits) Longueur de Type de service (8 bits) Longueur totale (16 bits)
l’en-tête (4 bits)
Présentation Identification (16 bits) Drapeau de fractionnement (3 bits) Décalage fragment (13 bits)

Durée de vie (8 bits) Protocole (8 bits) Somme de contrôle en-tête (16 bits)

Session Adresse IP source (32 bits)

Adresse IP destination (32 bits)

Données (n x 32 bits)

Transport

Position du fragment

réseau

Liaison de données

Physique

Système d’information et sécurité

10
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Les composants informatiques : infrastructure, application et base de données

Clients Serveurs

Système d’information et sécurité

11
financière
C1 - Interne
 INTRODUCTION À LA SÉCURITÉ INFORMATIQUE

Introduction

1. La blockchain
1. Définition d’un algorithme de hashage et d’un algorithme de chiffrement

2. Fonctionnement d’une blockchain

3. La régulation des cryptoactifs

2. Plan d’Urgence et de Poursuite d’Activité

1. Les étapes d’une gestion d’incident majeur

2. Exemple d’un cryptolocker

3. Contrôle d’accès aux SI bancaires

1. Modèle d’implémentation des droits d’accès sur un SI bancaire

2. Gestion de l’identification et de l’authentification au SI

3. Les différents types d’authentification

Système d’information et sécurité

12
financière
C1 - Interne
 ALGORITHMES DE CHIFFREMENT ET ALGORITHMES DE
HACHAGE

Algorithme de chiffrement symétrique : DES, 3DES, AES, RC4, RC5…

Algorithme de chiffrement asymétrique : RSA, Courbes elliptiques

Algorithme de hachage : MD5, SHA-1, SHA-2

Système d’information et sécurité

13
financière
C1 - Interne
 EXÉCUTION DE PROGRAMME
Le processeur (CPU Centrale Porcessing Unit)

AND AND
Input A Input B Input C
0 0 0
1 0 0
NAND 0 1 0
1 1 1

OR NAND
Input A Input B Input C
0 0 1
NOR 1 0 1
0 1 1
1 1 0

NOT OR XOR
Input A Input B Input C Input A Input B Input C
0 0 0 0 0 0
XNOR 1
0
0
1
1
1
1
0
0
1
1
1
1 1 1 1 1 0

XOR

Système d’information et sécurité

14
financière
C1 - Interne
 EXÉCUTION DE PROGRAMME
Attaque par buffer overflow

Instruction 1 Stocker une donnée

Donnée 1 Mémoire 1
Instruction 2 Saisir une donnée
Instruction 3 Additionner
Donnée 2 Mémoire 1
Instruction 4 Saisir une donnée
Instruction 5 Soustraire
Donnée 3 Mémoire 1

A+B=C
C+D=E

Système d’information et sécurité

15
financière
C1 - Interne
 ALGORITHMES DE CHIFFREMENT ET ALGORITHMES DE
HACHAGE
Algorithmes de hachage

Bonjour 1001 1000 0110 0011 1000 0001 1010

Compléter

1001 1000 0110 0011 1000 0001 1010 0000

Mélanger
1001 1000 0110 0011 1000 0001 1010 0000

XOR
1111 1011
XOR
0111 1010
XOR
1101 1010

Système d’information et sécurité

16
financière
C1 - Interne
 ALGORITHMES DE CHIFFREMENT ET ALGORITHMES DE
HACHAGE
Algorithmes de chiffrement symétrique

Bonjour 1001 1000 0110 0011 1000 0001 1010

Chiffrement avec la clé symétrique 1111 0000
0110 1000 1001 0011 0111 0001 0101 0000

Déchiffrement avec la clé symétrique 1111 0000

1001 1000 0110 0011 1000 0001 1010

Les algorithmes de chiffrement symétrique supposent l’utilisation d’un secret partagé.

Le chiffrement et le déchiffrement des données sont très rapide à réaliser.

Système d’information et sécurité

17
financière
C1 - Interne
 ALGORITHMES DE CHIFFREMENT ET ALGORITHMES DE
HACHAGE
Algorithmes de chiffrement asymétrique

1. Alice possède un couple de clés composé : d’une 3. Bob souhaitent envoyer le message « hello Alice »
clé privée et d’une clé publique à Alice.
2. Alice diffuse largement sa clé publique à toutes 4. Pour cela Bob utilise la clé publique de Alice et
personnes qui le souhaitent chiffre le message.
5. Alice utilise ensuite sa clé privée pour déchiffrer le
message.

6. Oscar ne connait que la clé publique et le

message chiffré avec la clé publique.
Sans connaitre la clé privé de Alice, il ne peut pas
déchiffrer le message.

Les algorithmes de chiffrement asymétrique reposent sur les propriétés mathématiques de

certaines fonctions très simples à réaliser mais dont l’opération inverse est très complexe.
Système d’information et sécurité
18
financière
C1 - Interne
 FONCTIONNEMENT D’UNE BLOCKCHAIN
Alice est commerçante et
dispose d’une adresse de
portefeuille bitcoin.
Pour effectuer son paiement
Bob doit connaitre la clé
secret associée à son
portefeuille.
Une fois cette transaction
créée, Bob la signe avec sa clé
secret. Seul Bob connait la clé
de son portefeuille.
Système d’information et sécurité
Bob est un client de Alice est
dispose également d’une
adresse de portefeuille
bitcoin.
Alice communique à Bob
l’adresse de son portefeuille.
Alice à l’occasion du paiement
aurait pu si elle le souhaite se
créer un nouveau portefeuille.
Bob transmet sa transaction
signée à un ou plusieurs
groupes de mineurs dont fait
partie Nestor.
financière
C1 - Interne
La valorisation du portefeuille
de Bob correspond a la
somme de toute les
transactions enregistrées sur
la blockchain.
Bob créé une transaction en
indiquant son portefeuille
comme adresse d’origine et
l’adresse du portefeuille
d’Alice comme destination des
fonds.
Nestor ajoute la transaction
reçu de Bob à d’autres
transactions collectées par le
même procédé.
19
Portefeuille Kpub1 > 5B > à portefeuille 2
Portefeuille 10 > 5B > à portefeuille 23
Portefeuille 91 > 5B > à portefeuille 110
Portefeuille 200 +1B
MD5

MD5

Portefeuille 121 > 5B > à portefeuille 245

Portefeuille 123 > 5B > à portefeuille 223
Portefeuille 110 > 5B > à portefeuille 132
MD5

Titre du document 12/09/2016 20

C1 - Interne
FR DE ES EN CH

Titre du document 12/09/2016 21

C1 - Interne
 FONCTIONNEMENT D’UNE BLOCKCHAIN
[RAPPEL précédent slide] Nestor
ajoute la transaction reçu de Bob à
d’autres transactions collectées par
le même procédé.
Si la signature obtenue correspond
aux critères de l’algorithme Nestor
peut valider le bloc. Si la signature
ne correspond pas aux critères de
l’algorithme, Nestor doit revenir à
l’étape précédente.
Système d’information et sécurité
Une fois que Nestor dispose de
suffisamment de transactions, il
constitue un bloc. Tous les blocs
commencent par une transaction
unique permettant la création de
bitcoin ex nilo. *
Nestor propose son bloc a
l’ensemble du réseau.
financière
C1 - Interne
Nestor doit ajouter à la fin de son
bloc les références du précédent
bloc et un nonce. Ce nonce fait
varier la signature obtenue de
façon non prédictible.
Tous les blocs commencent par une
transaction unique permettant la
création de bitcoin ex nilo. Cette
transaction vise à récompenser les
mineurs pour les efforts de calculs
donnés au réseau.
22
 INTRODUCTION À LA SÉCURITÉ INFORMATIQUE

Introduction

1. La blockchain
1. Définition d’un algorithme de hashage et d’un algorithme de chiffrement

2. Fonctionnement d’une blockchain

3. La régulation des cryptoactifs

2. Plan d’Urgence et de Poursuite d’Activité

1. Les étapes d’une gestion d’incident majeur

2. Exemple d’un cryptolocker

3. Contrôle d’accès aux SI bancaires

1. Modèle d’implémentation des droits d’accès sur un SI bancaire

2. Gestion de l’identification et de l’authentification au SI

3. Les différents types d’authentification

Système d’information et sécurité

23
financière
C1 - Interne
 PLAN D’URGENCE ET DE POURSUITE D’ACTIVITÉ
Cyber attaque

Fonctionnement
normal Incident
Service dégradé
Interruption du
service

PDMA / RPO DIMA / RTO

Système d’information et sécurité

24
financière
C1 - Interne
 10s
Actif Actif

BdD

Titre du document 12/09/2016 25

C1 - Interne
INCIDENT DE SÉCURITÉ INFORMATIQUE
Exemple cryptolocker

Système d’information et sécurité

26
financière
C1 - Interne
 INCIDENT DE SÉCURITÉ INFORMATIQUE
Exemple cryptolocker

Mesure conservatoire Analyse Retour à la normale

• Bascule des lecteurs • Identification des • Restauration des

réseaux en lecture machines touchées sauvegarde
seule • Evaluation des • Reprise des données
• Retrait des postes impacts • Activation des
touchés du réseau • Décompilation des polices d’assurance
• Mise à jour forcées programmes
des solutions concernés
antivirales • Forensic des
• Séquestre des machines impactées
preuves

Système d’information et sécurité

27
financière
C1 - Interne
 INTRODUCTION À LA SÉCURITÉ INFORMATIQUE

Introduction

1. La blockchain
1. Définition d’un algorithme de hashage et d’un algorithme de chiffrement

2. Fonctionnement d’une blockchain

3. La régulation des cryptoactifs

2. Plan d’Urgence et de Poursuite d’Activité

1. Les étapes d’une gestion d’incident majeur

2. Exemple d’un cryptolocker

3. Contrôle d’accès aux SI bancaires

1. Modèle d’implémentation des droits d’accès sur un SI bancaire

2. Gestion de l’identification et de l’authentification au SI

3. Les différents types d’authentification

Système d’information et sécurité

28
financière
C1 - Interne
 CONTRÔLER LES ACCÈS AU SI BANCAIRE

Modèle de droits : le contrôle d’accès basé sur les rôles (« Role-Based Access Contrôle »)

Positionner les ordres

Front office

Calculer les valeurs liquidatives

Back office

Annuler un ordre
Lecture Ecriture
Classification 1

Classification 2 Le modèle de Bell-La Padula (BLP) :

Classification 3
Classification 4
protection de la confidentialité des
données, implémenté par le
département de la défense
américaine.
Système d’information et sécurité
29
financière
C1 - Interne
 IDENTIFIER ET AUTHENTIFIER

Authentification forte : ce que je possède, ce que je connais et ce que je suis.

Ce que je
connais

Ce que
Ce que
je
je suis
possède

Système d’information et sécurité

30
financière
C1 - Interne