Sécurité de Systeme

d’information

Etudiante: AULEDISSA Chayma Professeur: Mr KOUKI Amir

2éme Mastere BAGP
Plan I. Introduction

II. Un peu d’histoire

III. Enjeux de la sécurité des SI

IV. Les menaces

V. Techniques de sécurité
VI. Processus de sécurisation
VII.Conclusion
I. Introduction
 Plus de 90% des entreprises ont consacré un budget
à la sécurité informatique malgré la crise.

90%
Source : cabinet pierre Audoin consultants 2012
3
Et pourtant… les attaques informatiques se multiplient.

52% de entreprises ont signalé une augmentation du nombre

d’attaques informatiques auxquelles elles ont du faire face en
2012.

52%
source : Kaspersky Lab

• Les clients et utilisateurs ont changé de comportements.

• Les surfaces d’attaques ont augmenté
• La sécurité est une grande enjeu pour les prochaine années.

4
II.Un peu d’histoire
 2010 :
L’architectur
2000 : Tout est
e est un
programme
programme

1995 : Sur le réseau

(Internet)
1990 : Tout est
document
1980 :
Tout est
fichier

6
III.Enjeux de la sécurité de SI
Disponibilité Intégrité
Sécurité
Informatique

Confidentialité
Auditabilité

6
IV. Les menaces
 92%
des entreprises du Forbes 2000 ont été
victimes d'incidents,
! Une application contient

99% 13
des applications Web sont failles en moyenne,
vulnérables,

Les applications concentrent 3.61 $

90% par ligne de code. C'est
des vulnérabilités.
Pourtant 80% des budgets
< /> le coût de la non
qualité/sécurité dans
sécurité sont consacrés aux un développement
,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructure
s.

Source : ponemon institut 2013

10
 lesmenaces
Les motivations pour les attaques

Hacktivisme Gains Financiers Déstabilisation entre Obtention de

états capacité d'attaque

• Interruption du service • Vol de carte de crédit • Destruction logique • Vol de mécanisme

• Messages idéologiques • Vol de données et/ou physique d'authentification /
• Divulgation • personnelles • Vol de données Certificats
• Vol de données • Stratégiques • Vol de codes sources
• d'entreprise

12
 les menaces
Types de menaces

Catégories Méthodes Caractéristiques

Virus/ver Diffusion via messagerie, duplication Destruction de ressource et contamination
illimitée (ver ou activation humaine croisée
(virus)

Déni de Service Saturation d'un serveur par envoi d'un Paralysie et arrêt des serveurs
flot de messages

Cheval de Troie Programme introduit discrètement par Prise de contrôle à distance d'une machine
un logiciel, une consultation de page
(Back Door)
Attaque DNS Emploi d'une adresse DNS correcte à but Prise de contrôle d'applications
frauduleux

IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau

privé

13
V.Techniques de sécurité
Techniques de sécurité

Sécuriser les opérations et les listes :

Des solutions existent, mais il faut les utiliser Sécurité
globale
Sécurité Serveur

active
Sécurité
passive
Sécurité
individuelle
Internaute
Sécurité du centre de calcul
Périmètre , Antivirus, Filtrage de contenu,
Droits et identités
Sécurité individuelle
Authentification, cryptage SSL,
Sécurité globale "portique" S/MIME,SET
Sécurité du poste de travail Firewall, Proxy
Antivirus,-spam, spyware,
Firewall personnel

15
 Techniques de sécurite
Sécurité active
Confidentialité des données
pour éviter les indiscrets et un tiers peut lire le message chiffrage des messages
espions

calcul de l'empreinte des

Intégrité des données pour
un tiers intercepte et modifie le message messages signatures
éviter les vandales et pirates
électroniques)

Identité des interlocuteurs Echange des certificats entre

un tiers se fait passer par le client
pour éviter les imposteurs client et serveur

Paternité des transactions

pour éviter la répudiation des un tiers se fait passer pour le serveur Mémoire historique
actes

Droits des clients pour éviter les Enregistrement des droits des
annuaire
usages frauduleux utilisateurs dans un annuaire

16
 Techniques de sécurité
Sécurité active
• Chiffrage / cryptage symétrique

Message Clé Message crypté

Message crypté Clé Message

17
 Techniques de
sécurité
Sécurité active
• Comparaison cryptage symétrique/asymétrique

Avantages Inconvénients

• Rapide • Difficulté de distribution

Symétrique • Peut être rapidement • Pas de signature
placée dans un échange électronique

• Deux clefs différentes

• Capacité d'intégrité et de • Lent, algorithme complexe
Asymétrique non Répudiation par • Nécessité de publication de
signature électronique la clef publique

18
 Techniques de sécurité
Sécurité active

Secure Socket layer

• Protocole de sécurisation des échanges sur Internet

• Permet de créer un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau interne
• utilisé lorsqu'un navigateur doit se connecter de manière
sécurisée à un serveur web.
• Les utilisateurs sont avertis de la présence de la sécurité SSL grâce à
l'affichage d'un cadenas et du protocole « https » dans l'url.

19
 Techniques de sécurité
Sécurité active

• Secure socket layer

Requête

Client Serveur

Cryptage de la clé de session à

Génération de la clé l’aide
de session de la clé publique du serveur Clé publique du Clé privée du
serveur
serveur

Envoi de la clé de session

Décryptage
cryptée au serveur

20
 Techniques de sécurité
Sécurité Passive : Les pare-feu

Internet Intranet

Firewall Firewall
Contrôle Contrôleles
acc entrant
ès
entrants
sortants
les accès

Serveur
Serveur Serveur Serveur HTTP
Proxy Mail HTTP +
SGBD
DMZ
Zone démilitarisée
Externe Interne

21
 Techniques de sécurité
Sécurité Passive : VPN

• Principe de fonctionnement d’un réseau privé

virtuel

22
 Techniques de sécurité
Techniques et technologies de sécurisation

• Schéma récapitulatif

Méthodologie de
développement Contrôle régulier
sécurisé des applications
Formation de
développeurs Vérification des
traces applicatives

IPS
Modélisation des Analyseur Contrôle
Mitigation
attaques (threat comportemental qualité
d'attaques DOS d'application
modeling)
Test
Design Security d'intrusion
Pattern Framework de
(conception de sécurité Scanner automatisé de
vulnérabilités Revue de
framework de
code
sécurité)
TECHNIQUES TECHNOLOGIES

23
VI. Processus de sécurisation
 Processus de sécurisation

• Architecture globale de sécurité

25
 Processus de sécurisation

• Identifier les • Mise en place des

risques et mesures de
élaborer les sécurité
objectifs à
atteindre en
termes de
sécurité

Plan Do

Act Check
• Surveiller et vérifier
• Analyser et l'efficacité de la
améliorer la sécurité en place
sécurité

26
VII.Conclusion
Conclusion
 La valeur des actifs tangibles et intangibles, en
particulier de
l’information, qu’ils manipulent dans l’exercice
quotidien de leur quotidien
 Les risques auxquels ils sont exposés et
auxquels ils exposent les
autres
 Les mesures appliquées par l’entreprise et celles
qu’on leur demande d’appliquer pour réduire ces
risques
 Les comportements déconseillés ou interdits

28
Merci