Institut Supérieur de Comptabilité

et d’Administration des Entreprises

SECURITE DU SYSTEME
D’INFORMATION (SSI)

3ième IAG
2009-2010
 Plan du cours
• Chapitre 1– Introduction à la sécurité
• Chapitre 2– Les risque et les menaces
informatique
• Chapitre 3– la protection informatique
– Sécurité physique du système informatique.
– Sécurité logique du système d’information.
– Sécurité des systèmes d’exploitation.
• Chapitre 4 – les solutions de sécurité pour les
réseaux d’entreprise
• Chapitre 5 – Introduction à la cryptographie

2
 Plan des TP
• Voir concrètement quelques attaques informatiques pour
la prise de contrôle à distance de l’ordinateur victime.
• Explorer les techniques de capture et de déduction des
mots de passes et étudier la robustesse des mots de
passe face à l’ingénierie sociale.
• Étudier les failles exploitables par les pirates.
• Implémenter les mécanismes nécessaires pour la
sécurisation d’un système informatique d’une entreprise.
• Cryptage des données (chiffrement et déchiffrement des
données).

3
 CHAPITRE 1
Introduction à la sécurité
Informatique

4
 Remarque

– Les outils mis à disposition ne doivent

être utilisés qu’à des fins de tests et
pour augmenter la sécurité de réseau
cible;
– Il est illégale de les mettre en œuvre
pour modifier, ajouter, supprimer ou
prendre connaissance d’informations
non déclarées comme publiques;
5
 La sécurité absolue n’existe
pas
On ne peut jamais être sûr d’être parfaitement en sécurité, d’avoir réglé tous les
problèmes de sécurité. Tout ce qu’on peut faire, c’est
1- améliorer notre sécurité par rapport à ce qu’elle était avant ou
2- nous comparer et nous trouver mieux ou moins bien en sécurité que quelqu’un
d’autre.

Il y a toujours un élément de comparaison.

Par conséquent, votre travail ne peut consister à exiger la sécurité absolue. Il consiste
plutôt à :

1- Vous assurer que toutes les précautions raisonnables ont été prises pour optimiser la
protection des renseignements personnels confiés à l’État.
2- Et, la sécurité étant une chose dynamique qui évolue dans le temps, votre tâche
consiste aussi à évaluer les processus mis en place pour entretenir la sécurité à long
6
terme.
 La sécurité absolue n’existe
pas
• La sécurité absolue n’existe pas essentiellement
parce que nous sommes à la merci de la
conjoncture. Le temps qui passe apporte le
changement et, en matière de sécurité, le
changement se traduit souvent par l’apparition ou
la découverte de nouvelles sources de risques.

• Mais la sécurité absolue n’existe pas pour une

autre raison beaucoup plus concrète: c’est que
les ressources que nous pouvons lui consacrer
sont limitées.

7
8
 D’où la nécessité d’évaluer
l’opportunité d’investir
• En fonction de l’importance des données à
protéger;
• En fonction de la probabilité d’une fuite.

9
 Systèmes d’information :

• L’information se présente sous trois

formes : les données, les connaissances
et les messages.
• On désigne par « système d’information
» l’ensemble des moyens techniques et
humains qui permet de stocker, de traiter
ou de transmettre l’information.

10
 Notion
de Système d'Information
• Une entreprise crée de la valeur en traitant de
l'information, en particulier dans le cas des
sociétés de service.
• Ainsi, l'information possède une valeur d'autant
plus grande qu'elle contribue à l'atteinte des
objectifs de l' entreprise.
• Un système d'Information (noté SI) représente
l'ensemble des éléments participant à la gestion,
au traitement, au transport et à la diffusion de
l'information au sein de l'entreprise.

11
 Le Système d'Information
Très concrètement le périmètre du terme Système d'Information peut
être très différent d'une organisation à une autre et peut recouvrir
selon les cas tout ou partie des éléments suivants :
• Bases de données de l'entreprise,
• Progiciel de gestion intégré (ERP - Entreprise Ressources
Planning),
• Outil de gestion de la relation client (CRM – Customer Relationship
Management),
• Outil de gestion de la chaîne logistique (SCM – Supply Chain
Management),
• Applications métiers,
• Infrastructure réseau,
• Serveurs de données et systèmes de stockage,
• Serveurs d'application,
• Dispositifs de sécurité.

12
 Valeur et propriétés d’une
information
• On ne protège bien que ce à quoi on tient, c’est-
à-dire ce à quoi on associe «une valeur ».
• La disponibilité, confidentialité, intégrité,et
l’authentification déterminent la valeur d’une
information. La sécurité des systèmes
d’information (SSI) a pour but de garantir la
valeur des informations qu’on utilise, si cette
garantie n’est plus assurée, on dit que le
système d’information a été altéré (corrupted).

13
 La sécurité des systèmes
d’information SSI
Sécurité
Le concept de sécurité des systèmes d’information recouvre un
ensemble de méthodes, techniques et outils chargés de
protéger les ressources d’un système d’information afin
d’assurer :
• la disponibilité des services : les services (ordinateurs,
réseaux, périphériques, applications…) et les informations
(données, fichiers…) doivent être accessibles aux personnes
autorisées quand elles en ont besoin.
• l’intégrité des systèmes : les services et les informations
(fichiers, messages…) ne peuvent être modifiés que par les
personnes autorisées (administrateurs, propriétaires…).
• la non-répudiation de l'information est la garantie qu'aucun
des correspondants ne pourra nier la transaction.
• la confidentialité des informations : les informations
n’appartiennent pas à tout le monde , seuls peuvent y accéder
ceux qui en ont le droit.
• l’authentification des utilisateurs du système 14
 Quand l’information est-elle
sensible?
• Quand de réels renseignements sont en
cause;
• Quand leur divulgation peut porter
préjudice aux personnes concernées,
même théoriquement;

15
Comment évaluer la probabilité
d’une atteinte?
• Se méfier des effets déformants de
l’inconnu;
• Moins on a l’impression d’être en contrôle
de la situation, plus on a tendance à
exagérer le risque.
• On doit donc s’employer à dissiper
l’inconnu et à garder la tête froide.

16
 Quelques statistiques
• Après un test de 12 000 hôtes du département de la
défense américaine, on retient que 1 à 3% des hôtes ont
des ouvertures exploitables et que 88% peuvent être
pénétrés par les relations de confiance.
• Enfin, le nombre de voleurs d’informations a augmenté
de 250% en 5 ans,
• 99% des grandes entreprises rapportent au moins un
incident majeur
• les fraudes informatiques et de télécommunication ont
totalisés 10 milliards de dollars pour seuls les Etats-
Unis.
• 1290 des plus grandes entreprises rapportent une
intrusion dans leur réseau interne et 2/3 d’entre elles à
cause de virus.
17