Vous êtes sur la page 1sur 166

Sécurité informatique

1
Bibliographie

 Sécurité informatique, Ethical hacking, Apprendre l'attaque pour mieux se


défendre. Editions ENI - Octobre 2009.
 Sécurité informatique, principes et méthodes à l’usages des DSI, RSSI et
administrateurs. Auteurs : Laurnt Bloch,Christophe Wolfhugel. Edition
Eyrolles. 2ème edition.
 Tableaux de bord de la sécurité réseau. Auteurs: Cédric Llorens Laurent Levier
Denis Valois. Edition Eyrolles. 2ème edition.
 Sécurité informatique et réseaux. Auteur : Solange Ghernaouti-Hélie. Edition
Eyrolles. 3ème edition.
 Hacking Exposed, Network Security Secrets And Solutions. Seventh Edition.
 L’encyclopédie comment ça marche (2006). www.commentcamarche.net/

2
Système informatique et système d'information

 Un système informatique est un ensemble de dispositifs (matériels et logiciels)


associés, sur lesquels repose un système d'information.
 Il est constitué généralement des serveurs, routeurs, pare-feu, commutateurs,
imprimantes, médias (câbles, air, etc.), points d'accès, stations de travail,
systèmes d'exploitation, applications, bases de données, etc.
 Un système d'information est un ensemble de moyens (humains, matériels,
logiciels, etc.) organisés permettant d'élaborer, de traiter, de stocker et/ou de
diffuser de l'information grâce aux processus ou services.
 Un système d'information est généralement délimité par un périmètre pouvant
comprendre des sites, des locaux, des acteurs (partenaires, clients, employés,
etc.), des équipements, des processus, des services, des applications et des
bases de données.

3
Le Monde dans lequel on vit

L’information est partout. On la retrouve dans divers systèmes:


 ordinateurs personnels (bureau et maison)
 serveurs de données (bases de données et serveurs web)
 systèmes téléphoniques (terminaux, interrupteurs, routeurs)
 téléphones portables (voix, image, vidéo, donnée)
 appareils manuels (ordinateurs portables, lecteur MP4)
 kiosque d’informations (données, services, Distributeurs Automatiques de
Billets)
 cartes à puces (identification, autorisation, monnaie électronique)
 systèmes incorporés (voiture, appareils domestiques)
 bien d’autres systèmes ...

4
Le Monde dans lequel on vit

 Nous sommes face non seulement à une augmentation de la quantité, mais


surtout de l'importance des données.
 Avec le développement d'Internet, chacun a accès au réseau où de plus en plus
d'informations circulent.
Exemple:
les entreprises communiquent et diffusent des informations, que ce soit dans leurs
liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les
relations entre les employés eux-mêmes.
 Le transport des données en dehors du domicile d'un particulier ou d'une
entreprise mérite que l'on s'interroge sur la sécurité des transmissions pour ne
pas compromettre un système d'information.

5
Qu’est-ce que la sécurité?

D’un premier point de vue :


 s’assurer que rien de “mauvais” arrive
 réduire les chances que quelque chose de “mauvais” se produise
 minimiser l’impact des “mauvaises choses”
 fournir les éléments nécessaires pour se remettre des “mauvaises choses”

D’un autre point de vue :


 autoriser les “bonnes choses” à arriver
 gestion du coût du système
Exemples :
 sécurité de la maison
 sécurité de la voiture

6
Qu’est-ce que la sécurité?

 Définition de base : La sécurité informatique c'est l'ensemble des moyens mis


en œuvre pour minimiser la vulnérabilité d'un système contre des menaces
accidentelles ou intentionnelles.
 Sécurité = “Safety”
Protection de systèmes informatiques contre les accidents dus à l'environnement,
les défauts du système.
 Sécurité = “Security ”
Protection des systèmes informatiques contre des actions malveillantes
intentionnelles.
 Note : Une vulnérabilité (ou faille) est une faiblesse dans un système
informatique.

7
Qu’est-ce que la sécurité?

 En général, Le risque en terme de sécurité est caractérisé par l'équation


suivante :

 La menace représente le type d'action susceptible de nuire dans l'absolu.


 La vulnérabilité (appelée parfois faille) représente le niveau d'exposition face à
la menace dans un contexte particulier.
 La contre-mesure est l'ensemble des actions mises en œuvre en prévention de
la menace.
 Note: Les contre-mesures à mettre en œuvre ne sont pas uniquement des
solutions techniques mais également des mesures de formation et de
sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles
clairement définies.

8
Les attaques
 Tout ordinateur connecté à un réseau informatique est potentiellement
vulnérable à une attaque.
 Une attaque est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par
l'exploitant du système.

9
Les attaques

Les motivations des attaques peuvent être de différentes sortes :


obtenir un accès au système ;
voler des informations, tels que des secrets industriels ou des propriétés
intellectuelles ;
avoir des informations personnelles sur un utilisateur ;
récupérer des données bancaires ;
s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
troubler le bon fonctionnement d'un service ;
utiliser le système de l'utilisateur comme “rebond” pour une attaque ;
utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau
sur lequel il est situé possède une bande passante élevée.

10
Les attaques
Types d’ attaques
Les systèmes informatiques mettent en œuvre différentes composantes, allant
de l'électricité pour alimenter les machines au logiciel exécuté via le système
d'exploitation et utilisant le réseau.
Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu
qu'il existe une vulnérabilité exploitable.

11
Les attaques

Il est possible de catégoriser les risques de la manière suivante :


Accès physique : il s'agit d'un cas où l'attaquant à accès aux locaux,
éventuellement même aux machines :
o Coupure de l'électricité
o Extinction manuelle de l'ordinateur
o Vandalisme
o Ouverture du boîtier de l'ordinateur et vol de disque dur
o Ecoute du trafic sur le réseau
Interception de communications :
o Vol de session (session hacking)
o Usurpation d'identité
o Détournement ou altération de messages
Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement
d'un service. On distingue habituellement les types de déni de service suivant :
o Exploitation de faiblesses des protocoles TCP/IP
o Exploitation de vulnérabilité des logiciels serveurs

12
Les attaques

 Intrusions :
o Balayage de ports
o Elévation de privilèges : ce type d'attaque consiste à exploiter une vulnérabilité d'une
application en envoyant une requête spécifique, non prévue par son concepteur, ayant pour
effet un comportement anormal conduisant parfois à un accès au système avec les droits de
l'application. Les attaques par débordement de tampon (buffer overflow) utilisent ce
principe.
o Maliciels (virus, vers et chevaux de Troie)
 Ingénierie sociale : Dans la majeure partie des cas le maillon faible est
l'utilisateur lui-même! En effet c'est souvent lui qui, par méconnaissance ou par
duperie, va ouvrir une faille dans le système, en donnant des informations (mot
de passe par exemple) au pirate informatique ou en exécutant une pièce jointe.
 Trappes : Il s'agit d'une porte dérobée (backdoor) dissimulée dans un logiciel,
permettant un accès ultérieur à son concepteur.

13
Les attaques

 Les erreurs de programmation contenues dans les programmes sont


habituellement corrigées assez rapidement par leur concepteur dès lors que la
vulnérabilité a été publiée.
 Il appartient aux administrateurs de se tenir informé des mises à jour des
programmes qu'ils utilisent afin de limiter les risques d'attaques.
Note: Il existe un certain nombre de dispositifs (pare-feu, systèmes de détection
d'intrusions, antivirus) permettant d'ajouter un niveau de sécurisation
supplémentaire.
 La sécurisation d'un système informatique est généralement dite
“asymétrique”, dans la mesure où le pirate n'a qu'à trouver une seule
vulnérabilité pour compromette le système, tandis que l'administrateur se doit
de corriger toutes les failles.

14
Les attaques
Attaques par rebond
Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire
repérer.
C'est la raison pour laquelle les pirates privilégient habituellement les
attaques par rebond (par opposition aux attaques directes), consistant à
attaquer une machine par l'intermédiaire d'une autre machine.
L’objectif est de masquer les traces permettant de remonter à lui (telle que son
adresse IP) et dans le but d'utiliser les ressources de la machine servant de
rebond.
Avec le développement des réseaux sans fils, ce type de scénario risque de
devenir de plus en plus courant car lorsque le réseau sans fil est mal sécurisé,
un pirate situé à proximité peut l'utiliser pour lancer des attaques.

15
Les pirates
Hacker/pirate
Le terme “hacker” est souvent utilisé pour désigner un pirate informatique.
A l'origine ce nom désignait les programmeurs expérimentés.
Il servit au cours des années 70 à décrire les révolutionnaires de
l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes
entreprises informatiques.
C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les
personnes impliquées dans le piratage de jeux vidéos, en désamorçant les
protections de ces derniers, puis en en revendant des copies.
Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes
s'introduisant dans les systèmes informatiques.

16
Les pirates
Les différents types de pirates
En réalité il existe de nombreux types d’ attaquants catégorisés selon leur
expérience et selon leurs motivations :
Les “white hat hackers”, hackers au sens noble du terme, dont le but est
d'aider à l'amélioration des systèmes et technologies informatiques, sont
généralement à l'origine des principaux protocoles et outils informatiques que
nous utilisons aujourd'hui; Le courrier électronique est un des meilleurs
exemples;
Les “hacktivistes” (cybermilitant ou cyberrésistant), sont des hackers dont la
motivation est principalement idéologique.

17
Les pirates

 Les “black hat hackers”, plus couramment appelés pirates, c'est-à-dire des
personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;
o Les “script kiddies” (traduisez gamins du script) sont de jeunes utilisateurs du réseau
utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour
vandaliser des systèmes informatiques afin de s'amuser.
o Les “phreakers” sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin
de téléphoner gratuitement grâce à des circuits électroniques connectés à la ligne
téléphonique dans le but d'en falsifier le fonctionnement.
o Les “carders” s'attaquent principalement aux systèmes de cartes à puces (en particulier les
cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles.
o Les “crackers” sont des personnes dont le but est de créer des outils logiciels permettant
d'attaquer des systèmes informatiques ou de casser les protections contre la copie des
logiciels payants. Un “crack” est ainsi un programme créé exécutable chargé de modifier
(patcher) le logiciel original afin d'en supprimer les protections.

18
Méthodologie d’une intrusion
Présentation général d’une intrusion
Les hackers recherchent dans un premier temps des failles, dans les
protocoles, les systèmes d'exploitations, les applications ou même le personnel
d'une organisation! Note: vulnérabilité = trou de sécurité (security hole).
Pour pouvoir mettre en œuvre un exploit (exploiter une vulnérabilité), la
première étape du hacker consiste à récupérer le maximum d'informations sur
l'architecture du réseau et sur les systèmes d'exploitations et applications
fonctionnant sur celui-ci.
Note: La plupart des attaques sont l’ œuvre de script kiddies essayant bêtement
des exploits trouvés sur internet, sans aucune connaissance du système, ni des
risques liés à leur acte.

19
Méthodologie d’une intrusion

 Une fois que le hacker a établi une cartographie du système, il est en mesure de
mettre en application des exploits relatifs aux versions des applications qu'il a
recensées. Un premier accès à une machine lui permettra d'étendre son action
afin de récupérer d'autres informations, et éventuellement d'étendre ses
privilèges sur la machine.
 Lorsqu'un accès administrateur (root) est obtenu, on parle alors de
compromission de la machine (ou plus exactement en anglais root
compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés.
Le hacker possède alors le plus haut niveau de droit sur la machine.
 La dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la
part de l'administrateur du réseau compromis et de telle manière à pouvoir
garder le plus longtemps possible le contrôle des machines compromises.

20
Méthodologie d’une intrusion

21
Méthodologie d’une intrusion
Déroulement d’une intrusion
La récupération d'informations sur le système: L'obtention d'informations
sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est
un préalable à toute attaque. Elle consiste à rassembler le maximum
d'informations:
o Adressage IP
o Noms de domaine,
o Protocoles de réseau et services activés,
o Architecture des serveurs, etc.
Consultation de bases publiques: En connaissant l'adresse IP publique d'une
des machines du réseau (ou le nom de domaine de l'organisation), un pirate est
potentiellement capable de connaître l'adressage du réseau tout entier. Il suffit
de consulter les bases publiques d'attribution des adresses IP et des noms de
domaine:
o http://www.iana.net
o http://www.ripe.net pour l'Europe
o http://www.arin.net pour les Etats-Unis
Note: La simple consultation des moteurs de recherche permet parfois de
rassembler des informations sur la structure
22
d'une entreprise.
Méthodologie d’une intrusion

 Balayage du réseau: Lorsque la topologie du réseau est connue par le pirate, il


peut le scanner, c'est-à-dire déterminer à l'aide d'un outil logiciel quelles sont
les adresses IP actives sur le réseau, les ports ouverts correspondant à des
services accessibles, et le système d'exploitation utilisé par ces serveurs.
 L'un des outils les plus connus pour scanner un réseau est Nmap. Cet outil agit
en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un
réseau, puis il analyse les réponses.
 Le repérage des failles: Il existe des scanneurs de vulnérabilité permettant aux
administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater
si certaines applications possèdent des failles de sécurité.
 Les deux principaux scanneurs de failles sont :
o Nessus (http://www.tenable.com/)
o SAINT (http://www.saintcorporation.com/)

23
Méthodologie d’une intrusion

 Intrusion: Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder


à des comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs
méthodes sont utilisées par les pirates :
o L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du réseau (par
mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de
connexion et leur mot de passe. Ceci est généralement fait en se faisant passer pour
l'administrateur réseau.
o La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers,
permettant de trouver des noms d'utilisateurs valides.
o Les attaques par force brute (brute force cracking), consistant à essayer de façon
automatique différents mots de passe sur une liste de compte (par exemple l'identifiant,
éventuellement suivi d'un chiffre, ou bien le mot de passe password, ou passwd, etc).
Méthodologie d’une intrusion

 Extension de privilèges: Lorsque le pirate a obtenu un ou plusieurs accès sur


le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va
chercher à augmenter ses privilèges en obtenant l'accès root .
 Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité
d'examiner le réseau à la recherche d'informations supplémentaires.
 Il lui est ainsi possible d'installer un sniffeur, c'est-à-dire un logiciel capable
d'écouter le trafic réseau en provenance ou à destination des machines situées
sur le même brin.
 Grâce à cette technique, le pirate peut espérer récupérer les couples
identifiants/mots de passe lui permettant d'accéder à des comptes possédant des
privilèges étendus sur d'autres machines du réseau afin d'être à même de
contrôler une plus grande partie du réseau.
 Les serveurs NIS (Network Information Service) présents sur un réseau sont
également des cibles de choix pour les pirates car ils regorgent d'informations
sur le réseau et ses utilisateurs.
Méthodologie d’une intrusion

 Compromission : Grâce aux étapes précédentes, le pirate a pu dresser une


cartographie complète du réseau, des machines s'y trouvant, de leurs failles et
possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible
d'étendre encore son action en exploitant les relations d'approbation existant
entre les différentes machines.
 Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de
pénétrer des réseaux privilégiés auxquels la machine compromise a accès.
 Porte dérobée: Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à
compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour
ce faire celui-ci va installer une application afin de créer artificiellement une
faille de sécurité, on parle alors de porte dérobée.

26
Méthodologie d’une intrusion

 Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de maîtrise suffisant


sur le réseau, il lui reste à effacer les traces de son passage en supprimant les
fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans
lesquelles il s'est introduit.
 Il existe des logiciels, appelés “kits racine” (rootkits) permettant de remplacer
les outils d'administration du système par des versions modifiées afin de
masquer la présence du pirate sur le système.
 En effet, si l'administrateur se connecte en même temps que le pirate, il est
susceptible de remarquer les services que le pirate a lancé ou tout simplement
qu'une autre personne que lui est connectée simultanément. L'objectif d'un
rootkit est donc de tromper l'administrateur en lui masquant la réalité.

27
Méthodologie d’une intrusion

 Exercice 1 : Qu’ils sont les objectifs d’un attaque par rebond?


 Exercice 2 : Expliquer les mots suivants: exploit, scanner, sniffer, spoofing,
rootkit
 Exercice 3 : Décrire la méthodologie d’une intrusion en général?
 Exercice 4 : Donner une explication à l’ équation suivante:

 Exercice 5 : Pourquoi un ordinateur connecté à un réseau peut être attaqué?


 Exercice 6 : Qu’il est l’ intérêt de l’opération de balayage du réseau?

28
Les exploits

 Un exploit est un programme informatique conçu pour l’exploitation d'une


vulnérabilité.
 Un exploit est spécifique à une version d'une application.
 On distingue deux types d'exploits :
-Augmentation des privilèges : Les exploits les plus dangereux permettent
d’avoie les privilèges d'administrateur (root ) ;
-Provocation d'une erreur système : Certains exploits ont pour objectif de faire
planter le système.
Quelques sites répertoriant les failles, leurs exploits et leurs correctifs :
ohttp://www.securityfocus.com/archive/1
ohttp://www.insecure.org ;
Note: La plupart du temps les exploits sont écrits en langage C ou en Perl.

29
Attaques cryptographiques
Les mots de passe
Lors de la connexion à un système informatique, celui-ci demande la plupart du
temps un identifiant (login ou username) et un mot de passe (password) pour y
accéder.
Si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique,
l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système
tout entier.
o dès qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son
champ d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine.
o A l'aide d'outils de génération de mots de passe, le pirate peut essayer un grand nombre de
mots de passe générés aléatoirement ou à l'aide d'un dictionnaire (éventuellement une
combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient
alors toutes les permissions sur la machine !
o De plus, à partir d'une machine du réseau, le pirate peut éventuellement obtenir un accès sur
le réseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs
côtoyant celui auquel il a obtenu un accès.

30
Attaques cryptographiques
 La plupart des systèmes sont configurés de manière à bloquer temporairement
le compte d'un utilisateur après un certain nombre de tentatives de connexion
infructueuses.
 En contrepartie, un pirate peut se servir de se mécanisme d'auto-défense pour
bloquer l'ensemble des comptes utilisateurs afin de provoquer un déni de
service.
 Sur la plupart des systèmes les mots de passe sont stockés de manière chiffrée
(ou cryptée) dans un fichier ou une base de données. Le pirate peut tenter de
casser le mot de passe d'un utilisateur en particulier ou bien de l'ensemble des
comptes utilisateurs.
 On appelle “attaque par force brute” ou attaque exhaustive (brute force
cracking) le cassage d'un mot de passe en testant tous les mots de passe
possibles.
o Il existe un grand nombre d'outils, pour chaque système d'exploitation, permettant de
réaliser ce genre d'opération.
o Ces outils servent aux administrateurs système à éprouver la solidité des mots de passe de
leurs utilisateurs mais leur usage est détourné par les pirates informatiques pour s'introduire
dans les systèmes informatiques.
 Note: Les outils d'attaque par force brute peuvent demander des heures, voire
31
Attaques cryptographiques

 la plupart du temps les utilisateurs choisissent des mots de passe ayant une
signification réelle (un prénom, une couleur, le nom d'un animal…). Essayant
ces mots pour casser le mot de passe s’appelle une attaque par dictionnaire.
 Une “attaques hybrides”, vise particulièrement les mots de passe constitué
d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que
mohamed12,50). Il s'agit d'une combinaison d'attaque par force brute et
d'attaque par dictionnaire.
 Il existe des moyens permettant au pirate d'obtenir les mots de passe des
utilisateurs :
o Les key loggers (enregistreurs de touches), sont des logiciels qui, lorsqu'ils sont installés sur
le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par
l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées
permettant de retenir temporairement le mot de passe et accessibles uniquement par le
système.
o L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des
informations.
o L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate
d'observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot
de passe.
32
Attaques cryptographiques
 Choix du mot de passe :Un mot de passe de 4 chiffres correspond à 10 000
possibilités (104). On lui préfèrera un mot de passe de 4 lettres, pour lequel il
existe 456972 possibilités (264). Un mot de passe mêlant chiffres et lettres,
voire également des majuscules et des caractères spéciaux sera encore plus
difficile à casser.
 Mots de passe à éviter :
o votre identifiant
o votre nom
o votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
o un mot du dictionnaire ;
o un mot à l'envers (les outils de cassage de mots de passe prennent en compte cette
possibilité) ;
o un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (password1999).
o Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne serait pas sain d'avoir
comme code de carte bancaire le même code que pour son téléphone portable et que le
digicode en bas de l'immeuble.
 Note : Il est conseillé de posséder plusieurs mots de passe par catégorie
d'usage, en fonction de la confidentialité du secret qu'il protège (carte
bancaire, messagerie…).
33
Attaques cryptographiques

 Politique en matière de mot de passe: Toute entreprise souhaitant garantir un


niveau de sécurité optimal se doit de mettre en place une réelle politique de
sécurité de matière de mots de passe.
 Il s'agit d'imposer aux employés le choix d'un mot de passe conforme à
certaines exigences, par exemple :
o Une longueur de mot de passe minimale
o La présence de caractères particuliers
o Un changement de casse (minuscule et majuscules)
 Il est possible de renforcer cette politique de sécurité en imposant une durée
d'expiration des mots de passe, afin d'obliger les utilisateurs à modifier
régulièrement leur mot de passe.
 Il est recommandé aux administrateurs système d'utiliser des logiciels de
cassage de mots de passe en interne sur les mots de passe de leurs utilisateurs
afin d'en éprouver la solidité.

34
Attaques cryptographiques
Attaque man in the middle
L'attaque “man in the middle” (attaque de l'homme au milieu ou MITM) est un
scénario d'attaque dans lequel un pirate écoute une communication entre deux
interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties.
La plupart des attaques de type MITM consistent à écouter le réseau à l'aide d'un
outil appelé sniffer.
Attaque par rejeu
Les attaques par rejeu (replay attaque) sont des attaques de type MITM
consistant à intercepter des paquets de données et à les retransmettre tels quel
(sans aucun déchiffrement) au serveur destinataire.
le pirate peut bénéficier des droits de l'utilisateur.
o Imaginons un scénario dans lequel un client transmet un nom d'utilisateur et un mot de passe
chiffrés à un serveur afin de s'authentifier. Si un pirate intercepte la communication et rejoue
la séquence, il obtiendra alors les mêmes droits que l'utilisateur. Si le système permet de
modifier le mot de passe, il pourra même en mettre un autre, privant ainsi l'utilisateur de son
accès.

35
Dénis de service
Introduction aux attaques par déni de service
Une attaque par déni de service (Denial of Service, DoS) est un type d'attaque
visant à rendre indisponible pendant un temps indéterminé les services ou
ressources d'une organisation.
Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise,
afin qu'ils ne puissent être utilisés et consultés.
Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais
de nuire à la réputation de sociétés ayant une présence sur internet.
Le principe des attaques par déni de service consiste à envoyer des paquets IP
ou des données de taille ou de constitution inhabituelle, afin de provoquer une
saturation ou un état instable des machines victimes.
Lorsqu'un déni de service est provoqué par plusieurs machines, on parle alors de
“déni de service distribué” (Distributed Denial of Service, DDOS).
o Les attaques par déni de service distribué les plus connues sont Tribal Flood Network et
Trinoo.
Pour se protéger de ce type d'attaque, il est nécessaire de mener une veille active
sur les nouvelles attaques et vulnérabilités :
o http://windowsupdate.microsoft.com/ , http://www.securityfocus.com/
36
Dénis de service
La technique dite par réflexion
La technique dite “attaque par réflexion”(smurf) est basée sur l'utilisation de
serveurs de diffusion (broadcast) pour paralyser un réseau.
Un serveur broadcast est un serveur capable de dupliquer un message et de
l'envoyer à toutes les machines présentes sur le même réseau.
Le scénario d'une telle attaque est le suivant :
o la machine attaquante envoie une requête ping à un ou plusieurs serveurs de diffusion en
falsifiant l'adresse IP source et en fournissant l'adresse IP d'une machine cible.
o le serveur de diffusion répercute la requête sur l'ensemble du réseau ;
o toutes les machines du réseau envoient une réponse au server de diffusion,
o le serveur broadcast redirige les réponses vers la machine cible.

37
Dénis de service

38
Dénis de service
Attaque du ping de la mort
L’ “attaque du ping de la mort”(ping of death) est une des plus anciennes
attaque réseau. Aucun système récent n'est vulnérable à ce type d'attaque
 Le principe du ping de la mort consiste tout simplement à créer un datagramme
IP dont la taille totale excède la taille maximum autorisée (65536 octets). Un tel
paquet envoyé à un système possédant une pile TCP/IP vulnérable, provoquera
un plantage.
Attaque par fragmentation
Une “attaque par fragmentation”(fragment attack) est une attaque réseau par
saturation(déni de service) exploitant le principe de fragmentation du protocole
IP. A ce jour, les systèmes récents ne sont plus vulnérables à cette attaque
o En effet, le protocole IP est prévu pour fragmenter les paquets de taille importante en
plusieurs paquets IP possédant chacun un numéro de séquence et un numéro d'identification
commun. A réception des données, le destinataire réassemble les paquets grâce aux valeurs
de décalage (offset) qu'ils contiennent.
o L'attaque par fragmentation la plus célèbre est l'attaque Teardrop. Le principe de l'attaque
Teardrop consiste à insérer dans des paquets fragmentés des informations de décalage
erronées. Ainsi, lors du réassemblage il existe des vides ou des recoupements (overlapping),
pouvant provoquer une instabilité du système.

39
Dénis de service
Attaque LAND
L’ “attaque LAND” est une attaque réseau datant de 1997, utilisant l'usurpation
d'adresse IP afin d'exploiter une faille de certaines implémentation du protocole
TCP/IP dans les systèmes. Les systèmes récents ne sont aujourd'hui plus
vulnérables à ce type d'attaque.
 Le nom de cette attaque provient du nom donné au premier code source (appelé
exploit) diffusé permettant de mettre en oeuvre cette attaque : land.c.
L'attaque LAND consiste ainsi à envoyer un paquet possédant la même adresse
IP et le même numéro de port dans les champs source et destination des paquets
IP.
Dirigée contre des systèmes vulnérables, cette attaque avait pour conséquence
de faire planter les systèmes ou de les conduire à des états instables.
Attaque SYN
L’ “attaque SYN” (pour synchronize) est une attaque par saturation (déni de
service) exploitant le mécanisme de poignéee de main en trois temps (Three-
ways handshake) du protocole TCP.

40
Dénis de service
 Dans une connexion TCP, le client envoie une requête SYN(étape 1), le serveur
répond par un paquet SYN/ACK (étape 2) et le client enfin valide la connexion
par un paquet ACK (étape 3) .
 Un client malveillant peut annuler l’ étape 3 et ne pas répondre (par le message
ACK). Le serveur attend un certain temps avant de libérer les ressources qui
ont été réservées pour le client (Il existe un mécanisme d'expiration permettant
de rejeter les paquets au bout d'un certain délai).
 Après l'étape 2, la connexion est semi-ouverte et consomme un certain nombre
de ressources du côté du serveur (mémoire, temps processeur, etc.). En
générant suffisamment de connexions incomplètes de ce type, il est possible de
surcharger les ressources du serveur et ainsi d'empêcher le serveur d'accepter de
nouvelles requêtes, avec pour résultat un déni de service.

41
Techniques d’attaques
L'usurpation d'adresse IP
L’ “usurpation d'adresse IP” (spoofing IP) est une technique consistant à
modifier l'adresse IP de l'expéditeur d'un paquet IP par l'adresse IP d'une autre
machine.
Cette attaque peut permettre à un pirate de faire passer des paquets sur un réseau
sans que ceux-ci ne soient interceptés par le système de filtrage de paquets (pare-
feu).
o un pare-feu (firewall) fonctionne la plupart du temps grâce à des règles de filtrage indiquant
les adresses IP autorisées à communiquer avec les machines internes au réseau.
o Un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau
interne et sera relayé à la machine cible.

42
Techniques d’attaques
 Modification de l'en-tête TCP : les données circulent grâce au protocole IP,
qui assure l'encapsulation des données dans des structures appelées datagramme
IP (paquet).
 Voici la structure d'un datagramme IP:

 Usurper une adresse IP revient à changer le champ source afin de simuler un


datagramme provenant d'une autre adresse IP. Cependant, les paquets sont
généralement transportés par le protocole TCP, qui assure une transmission dite
“fiable”.

43
Techniques d’attaques
 Les liens d'approbation : Le protocole TCP permet, au niveau des
applications, de gérer les données en provenance (ou à destination) de la couche
inférieure du modèle OSI (Open Systems Interconnection).
 Le protocole TCP permet d'assurer le transfert des données de façon fiable
grâce à un système d'accusés de réception (ACK) permettant au client et au
serveur de s'assurer de la bonne réception mutuelle des données.
 Les datagrammes IP encapsulent des paquets TCP dont voici la structure :

44
Techniques d’attaques
 Lors de l'émission d'un paquet, une séquence (numéro d'ordre) est associé, et un
échange de paquets contenant des champs particuliers (drapeaux) permet de
synchroniser le client et le serveur.

45
Techniques d’attaques
 Ce dialogue permet d'initier la connexion, il se déroule en trois temps:
o Dans une première étape, le client transmet un segment dont le drapeau SYN est à 1, avec un
numéro d'ordre N.
o Dans une deuxième étape, le serveur envoie au client un segment dont le drapeau ACK est
non nul et le drapeau SYN est à 1 (synchronisation). Le champ le plus important de ce
segment est le champ ACK qui contient le numéro d'ordre initial du client, incrémenté de 1.
o Enfin, le client envoie au serveur un segment dont le drapeau ACK est non nul, et dont le
drapeau SYN est à zéro (pas de synchronisation). Son numéro d'ordre est incrémenté et le
numéro d'accusé de réception (ACK) représente le numéro de séquence initial du serveur
incrémenté de 1.
 Annihiler la machine spoofée : Dans le cadre d'une attaque par usurpation
d'adresse IP, la machine spoofée va répondre avec un paquet TCP dont le
drapeau RST (reset) est non nul, ce qui mettra fin à la connexion.

46
Techniques d’attaques
 Le hacker n'a aucune information des réponses de la machine cible qui vont
vers une autre machine du réseau (blind attack).

 Ainsi, la machine spoofée prive le pirate de toute tentative de connexion, car


elle envoie systématiquement un drapeau RST à la machine cible. Le travail du
hacker consiste alors à invalider la machine spoofée en la rendant injoignable
pendant toute la durée de l'attaque.

47
Techniques d’attaques
 Prédire les numéros de séquence: Une fois la machine spoofée est invalidée,
la machine cible attend un paquet contenant le ACK et le bon numéro de
séquence. Tout le travail de l’attaquant consiste à “deviner” le numéro de
séquence (du serveur).
 Pour cela, généralement les pirates utilisent le champ option de l'en-tête IP afin
d'indiquer une route de retour spécifique pour le paquet. Grâce au sniffing, le
pirate sera à même de lire le contenu des trames de retour...

 En connaissant le dernier numéro de séquence émis (par le serveur), l’attaquant


établit des statistiques concernant son incrémentation et envoie des message
ACK jusqu'à obtenir le bon numéro de séquence.
48
Techniques d’attaques
Détournement de session (TCP session hijacking)
Le vol de session TCP : C’ est une technique consistant à intercepter une
session TCP initiée entre deux machine afin de la détourner.
o L’ authentification s'effectue uniquement à l'ouverture de la session, un attaquant réussissant
cette attaque parvient à prendre possession de la connexion pendant toute la durée de la
session.
Source-routing : La technique de détournement initiale consistait à utiliser
l'option source routing du protocole IP. Cette option permettait de préciser le
chemin à suivre pour les paquets IP, à l'aide d'une série d'adresses IP indiquant
les routeurs à utiliser.
o Le pirate peut indiquer un chemin de retour pour les paquets vers un routeur sous son
contrôle.
Attaque à l'aveugle : Lorsque le source-routing est désactivé, une deuxième
méthode consiste à envoyer des paquets à l'aveugle (blind attack), sans recevoir
de réponse, en essayant de deviner les numéros de séquence.
Man in the middle : Situant sur le même brin réseau que les deux machines, le
pirate peut écouter le réseau et de “faire taire” l'une des machines en saturant le
réseau afin de prendre sa place.

49
Techniques d’attaques
ARP poisoning
Cette attaque est de type man in the middle. elle consiste à exploiter une
faiblesse du protocole ARP (Address Resolution Protocol) dont l'objectif est de
permettre de retrouver l'adresse IP d'une machine connaissant l'adresse physique
(adresse MAC) de sa carte réseau.
L'objectif de l'attaque consiste à s'interposer entre deux machines du réseau et de
transmettre à chacune un paquet ARP falsifié précisant que l'adresse MAC de
l'autre machine a changé, l'adresse MAC fournie étant celle de l'attaquant.
Ainsi, les deux machines cibles vont mettre à jour leur table dynamique appelée
Cache ARP. À chaque fois qu'une des deux machines souhaitera communiquer
avec la machine distante, les paquets seront envoyés à l'attaquant, qui les
transmettra de manière transparente à la machine destinatrice.

50
Techniques d’attaques
Ecoute réseau
L'analyse de réseau : Un “analyseur réseau”(sniffer) est un dispositif
permettant de capturer les informations qui circulent dans un réseau.
o Dans une utilisation normale les machines ignorent les paquets qui ne leur sont pas destinés.
Utilisant l'interface réseau dans un mode spécifique (appelé généralement mode
promiscuous) il est possible d'écouter tout le trafic passant par un adaptateur réseau (une
carte réseau ethernet, une carte réseau sans fil, etc.).
Utilisation du sniffer : Un sniffer est un outil permettant d'étudier le trafic d'un
réseau.
o Généralement il sert aux administrateurs pour diagnostiquer les problèmes sur leur réseau
ainsi que pour connaître le trafic qui y circule.
 Comme tous les outils d'administration, le sniffer peut également servir à un
attaquant ayant un accès physique au réseau pour collecter des informations.
o Ce risque est plus important sur les réseaux sans fils car il est difficile de confiner les ondes
hertziennes dans un périmètre délimité, si bien que des personnes malveillantes peuvent
écouter le trafic en étant simplement dans le voisinage.

51
Techniques d’attaques
 La grande majorité des protocoles Internet font transiter les informations en
clair ( non chiffrée).
o Lorsqu'un utilisateur du réseau consulte sa messagerie via le protocole POP ou IMAP, ou
bien surfe sur internet sur des sites dont l'adresse ne commence pas par HTTPS, toutes les
informations envoyées ou reçues peuvent être interceptées. Des sniffers spécifiques ont été
mis au point par des pirates afin de récupérer les mots de passe circulant dans le flux réseau.
 Exemple de sniffer:
- Wireshark
- TCPdump
- WinDump

52
Techniques d’attaques
Balayage de port (port scanning)
Le balayage de ports : Un scanner est un utilitaire permettant un balayage des
ports ouverts (port scanning) sur une machine donnée ou sur un réseau tout
entier.
Fonctionnement d'un scanner : Un scanner est capable de déterminer les ports
ouverts sur un système en envoyant des requêtes successives sur les différents
ports et analyse les réponses afin de déterminer lesquels sont actifs.
 En analysant la structure des paquets TCP/IP reçus, les scanners évolués sont
capables de déterminer le système d'exploitation de la machine distante ainsi
que les versions des applications associées aux ports.

53
Techniques d’attaques
 On distingue habituellement deux méthodes :
- L'acquisition active d'informations consistant à envoyer un grand nombre de
paquets possédant des en-têtes caractéristiques et la plupart du temps non
conformes aux recommandations et à analyser les réponses afin de déterminer
la version de l'application utilisée.
- L'acquisition passive d'informations a un fonctionnement est proche, si ce n'est
qu'il consiste à analyser les champs des datagrammes IP circulant sur un réseau,
à l'aide d'un sniffer. Ce type d'analyse est ainsi très difficile à détecter.
 Quelque scanners:
- Nessus
- Nmap

54
Techniques d’attaques
Débordement du tampon (buffer overflow)
Les attaques par “débordement de tampon” ont pour objectif l'exécution de code
arbitraire par un programme en lui envoyant plus de données qu'il n'est censé en
recevoir.
 Exemple : les programmes stockent les données provisoirement dans une zone
de la mémoire appelée tampon. certaines fonctions de lecture, telles que les
fonctions strcpy() du langage C, ne gèrent pas ce type de débordement et
provoquent un plantage de l'application pouvant aboutir à l'exécution du code
arbitraire et ainsi donner un accès au système.
 Pour se protéger de ce type d'attaque, il faut développer des applications à l'aide
de langages de programmation évolués, assurant une gestion fine de la mémoire
allouée ou bien à l'aide de langage de bas niveau en utilisant des bibliothèques
de fonctions sécurisées (par exemple les fonctions strncpy()).

55
Techniques d’attaques
Spam
Le terme spam signifie l'envoi massif de courrier électronique (souvent de type
publicitaire) à des destinataires ne l'ayant pas sollicité et dont les adresses ont
généralement été récupérées sur internet. Le but premier du spam est de faire de
la publicité à moindre prix.
Les spammeurs cherchent des adresses électroniques sur internet (dans les
forums, sur les sites internet, dans les groupes de discussion, etc.) grâce à des
logiciels, appelés robots, parcourant les différentes pages et stockant au passage
dans une base de données toutes les adresses électroniques y figurant. Il ne reste
ensuite au spammeur qu'à lancer une application envoyant successivement à
chaque adresse le message publicitaire.

56
Techniques d’attaques
 Inconvénients :
- l'espace qu'il occupe dans les boîtes aux lettres des victimes ;
- la perte de temps occasionnée par le tri et la suppression des messages non
sollicités;
- le caractère violant ou dégradant des textes ou images véhiculés par ces
messages, pouvant heurter la sensibilité des plus jeunes;
- la bande passante qu'il gaspille sur le réseau des réseaux.
 Le spam génère des coûts de gestion supplémentaires pour les fournisseurs
d'accès à internet (FAI), se répercutant sur le coût de leurs abonnements. Ce
surcoût est notamment lié à :
- la mise en place des systèmes antispam;
- la sensibilisation des utilisateurs;
- la formation du personnel;
- la consommation de ressources supplémentaires (serveurs de filtrage, etc.).

57
Techniques d’attaques
 Il existe des dispositifs antispam permettant de repérer et de supprimer les
messages indésirables sur la base de règles évoluées. On distingue
généralement deux familles de logiciels antispam :
- Les dispositifs antispam côté client : Il s'agit généralement de systèmes
possédant des filtres permettant d'identifier, sur la base de règles prédéfinies ou
d'un apprentissage (filtres bayésiens).
- Les dispositifs antispam côté serveur, permettant un filtrage du courrier avant
remise aux destinataires. Ce type de dispositif est le meilleur car il permet de
stopper le courrier non sollicité en amont et éviter l'engorgement des réseaux et
des boîtes aux lettres.

58
Techniques d’attaques
 Pour éviter le spam, il est nécessaire de divulguer son adresse électronique le
moins possible et à ce titre :
- Ne pas relayer les messages (blagues, etc.) invitant l'utilisateur à transmettre le
courrier au maximum de contacts possible. De telles listes sont effectivement
des aubaines pour les collecteurs d'adresses. Il est éventuellement possible de
faire suivre le message en s'assurant de masquer les adresses des destinataires
précédents.
- Eviter au maximum de publier son adresse électronique sur des forums ou des
sites internet.
- Créer une ou plusieurs “adresses-jetables” servant uniquement à s'inscrire ou
s'identifier sur les sites jugés non dignes de confiance.

59
Techniques d’attaques
mail bombing
Le mail bombing consiste à transmettre plusieurs milliers de messages
identiques à une boîte aux lettres électronique afin de la saturer.
oLes mails sont stockés sur un serveur de messagerie, jusqu'à ce qu'ils soient relevés par le
propriétaire du compte de messagerie. Ainsi lorsque celui-ci relèvera le courrier, ce dernier mettra
beaucoup trop de temps et la boîte aux lettres deviendra alors inutilisable...
Les solutions au mail bombing sont les suivantes :
- Avoir plusieurs boîte aux lettres : une principale que vous ne divulguez qu'aux
personnes dignes de confiance, et une à laquelle vous tenez moins, utilisée par
exemple pour s'inscrire à des services en ligne sur Internet ;
- Installer un logiciel antispam qui interdira la réception de plusieurs messages
identiques à un intervalle de temps trop court.

60
Techniques d’attaques

 Exercice 7 : Expliquer le fonctionnement d’un firewall.


 Exercice 8 : Donner la signification de chaque champ présent dans la structure
d’un datagramme IP (même question pour le paquet TCP).
 Exercice 9 : Que signifie “écouter le trafic réseau”.
 Exercice 10 : Á quoi servent les logiciels Wireshark, Nump et Nessus?
 Exercice 11: quels sont les rôles d’un sniffer et d’un scanneur?

61
Plan

 Critères de sécurité et fonctions associées


 Domaine d’application de la sécurité
 Différentes facettes de la sécurité
 TP1: Tester les outils : ping, traceroute, netstast

62
1. Critères de sécurité et fonctions associées
 Les sécurité informatique doit contribuer à satisfaire les critères (objectifs)
suivant :
o La disponibilité
o L’ intégrité
o La confidentialité
 Ils s’ajoutent à ces trois objectifs deux autres:
o ceux qui permettent de prouver l’identité des entités (notion
d’authentification)
o et ceux qui indiquent que des actions ou évènements ont bien eu lieu (notions
de non-répudiation, d’imputabilité voire de traçabilité).

63
1. Critères de sécurité et fonctions associées

Confidentialité

Disponibilité Intégrité

Critères de
sécurité

Non-répudiation authenticité

64
1.1 Disponibilité
 La disponibilité d’ un service est la probabilité de pouvoir mener correctement
à terme une session de travail.
 La disponibilité des services est obtenue:
- par un dimensionnement approprié et aussi une certaine redondance;
- par une gestion efficace des infrastructures.
 Exemple : Dans un réseau grande distance et de topologie maillée, la
disponibilité sera réalisée à condition que l’ensemble des liaison ait été
correctement dimensionné et que les politiques de routage soient satisfaisantes.
 Une ressource doit être assurée avec un minimum d’interruption. On parle de
continuité de service.
 Ainsi, un arbitrage entre le coût de la sauvegarde et celui du risque
d’indisponibilité supportable par l’organisation seront établis afin que la mise
en œuvre des mesures techniques soit efficace.

65
1.2 Intégrité
 Le critère d’ intégrité est lié au fait que des ressources ou services n’ont pas été
altérés ou détruit tant de façon intentionnelle qu’accidentelle.
 Il est indispensable de se protéger contre la modification des données lors de
leur stockage, le leur traitement ou de leur transfert.
 l’intégrité de données en télécommunication relève essentiellement des
problèmes liés au transfert de données, cependant elle dépond des aspects
purement informatiques (logiciels, systèmes d’exploitation, environnement d’
exécution, procédures de sauvegarde, de reprise et de restauration des données).

66
1.3 Confidentialité
 La confidentialité peut être vue comme la protection des données contre une
divulgation non autorisé.
 Deux actions complémentaires permettent d’assurer la confidentialité des
données:
- limiter leur accès par un mécanisme de contrôle d’ accès;
- transformer les données par des techniques de chiffrement pour qu’ elles
deviennent inintelligibles aux personnes n’ ont pas les moyens de les déchiffrer.
 Le chiffrement des données (ou cryptographie) contribue à en assurer la
confidentialité des données et à en augmenter la sécurité des données lors de
leur transmission ou de leur stockage.

67
1.4 Identification et authentification
 Note : Identifier le peintre présumé d’un tableau signé est une chose, s’assurer
que le tableau est authentique en est une autre (identification et
authentification).
 L’authentification vérifie une identité annoncée et de s’assurer de la non
usurpation de l’identité d’une entité (individu, ordinateur, programme,
document, etc.).
 Tous les mécanisme de contrôle d’ accès logique aux ressources informatiques
nécessitent de gérer l’ identification et l’ authentification.
 Exemple :
Je m’appelle mohamed → identification.
Mon mot de passe est blabla!12345 → authentification

68
1.4 Non-répudiation
 La non-répudiation est le fait de ne pouvoir nier qu’ un évènement (action,
transaction) a eu lieu. Ce critère est liés aux notions d’ imputabilité, de
traçabilité et éventuellement d’ auditabilité.
 L’ imputabilité se définit par l’attribution d’un évènement à une entité
déterminée (ressource, personne). L’imputabilité est associée à la notion de
responsabilité.
 La traçabilité a pour finalité de suivre la trace numérique laissée par la
réalisation d’une action (message électronique, transaction commerciale,
transfert de données…). Cette fonction comprend l’enregistrement des actions,
la date de leur réalisation et leur imputation. Exemple : Trouver l’adresse IP
d’un machine à partir duquel des données ont pu être envoyées (fichier log).
 L’auditabilité est la capacité d’un système à garantir les informations
nécessaires à une analyse d’un évènement dans le cadre de procédures de
contrôle et d’audit. L’audit peut être mis en œuvre pour vérifier, contrôler,
évaluer, diagnostiquer l’ état de sécurité d’un système.

69
2. Domaine d’application de la sécurité
 Toute les activités informatiques sont concernées par la sécurité d’un système
d’information.
 Selon le domaine d’application la sécurité informatique a plusieurs aspects :
- Sécurité physique ;
- sécurité de l’exploitation;
- sécurité logique ;
- sécurité applicative;
- sécurité des communications.

70
2.1 Sécurité physique
 La sécurité physique est liée à tous les aspects liés à la maitrise des systèmes et
de l ’environnement dans lequel ils se situent.
 La sécurité repose essentiellement sur:
- les normes de sécurité;
- la protection des sources énergétiques (alimentation, etc.);
- la protection de l’environnement (incendie, température, humidité, etc.);
- la protection des accès (protection physique de équipement, locaux de
répartition, tableaux de connexion, infrastructure câblée, etc.);
- la sureté de fonctionnement et la fiabilité des matériels (composants, câbles,
etc.);
- la redondance physique;
- le marquage des matériels;
- Le plan de maintenance préventive (test, etc.) et corrective (pièce de rechange,
etc.);
-…

71
2.2 Sécurité de l’ exploitation
 La sécurité de l’ exploitation concerne tout ce qui est lié au bon
fonctionnement des systèmes informatiques.
 La sécurité de l’ exploitation dépend fortement de son niveau d’
industrialisation, qui est qualifié par son niveau de supervision des applications
et l’automatisation des tâches.
 Les points critiques de la sécurité de l’ exploitation sont les suivant:
- plan de sauvegarde;
- plan de secours;
- plan de continuité;
- plan de tests;
- inventaires réguliers et si possible dynamique;
- gestion du parc informatique;
- gestion des configuration et des mises à jour;
- gestion des incidents et suivi jusqu’ à leur résolution;
- analyse de fichiers de journalisation et de comptabilité;
-…
72
2.3 Sécurité logique
 La sécurité logique fait référence à l’ élaboration de solutions de sécurité par
des logiciels contribuant au bon fonctionnement des applications et services.
 La sécurité logique repose en grande partie sur des techniques de cryptographie
par des procédures d’authentification, par des antivirus, des procédures de
sauvegarde et de restitution des informations sensibles sur des supports fiables
et spécialement protégés et conservés dans des lieux sécurisés.
 Afin de déterminer le degré de protection nécessaire aux informations
manipulées, une classification des données est à réaliser afin de qualifier leur
degré de sensibilité (normale, confidentielle, etc.).

73
2.4 Sécurité applicative
 La sécurité applicative comprend le développement de solutions logicielles
(ingénierie du logiciel, qualité du logiciel) ainsi que leur intégration et
exécution harmonieuses dans des environnements opérationnels.
 Elle s’appuie essentiellement sur l’ ensemble des facteurs suivants:
- une méthodologie de développement (respect des normes);
- la robustesse des applications;
- des contrôles programmés;
- des jeux des tests;
- des procédures de recettes;
- l’ intégration de mécanisme de sécurité, d’outils d’ administration et de contrôle
de qualité dans les applications;
- un plan de migration des application critiques;
- la validation et l’audit des programmes;
- un plan d’assurance sécurité;
-…

74
2.4 Sécurité des communications
 La sécurité des communications consiste à offrir à l’utilisateur final une
connectivité fiable et de qualité de bout en bout (end to end security).
 Ceci implique l’ élaboration d’une infrastructure réseau sécurisée au niveau des
accès, de l’acheminement , des protocoles de communication, des systèmes d’
exploitation et des équipements de télécommunications et des supports de
transmission.
 La sécurité des télécommunications ne peut à elle seule garantir la sécurité des
transfert des données. Il est également impératif de sécuriser l’ infrastructure
applicative dans laquelle s’ exécutent les applications sur les systèmes
d’extrémité au niveau de l’ environnement de travail de l’utilisateur et des
applications.
 Le sécurité des télécommunications ne peut s’envisager sans une analyse de
risque spécifique à chaque organisation en fonction de son infrastructure
environnementale, humaine, organisationnelle et informatique.

75
3 Différentes facettes de la sécurité
 La sécurité informatique d’une organisation doit envisager d’une manière
globale et stratégique. Elle passe par la réalisation d’une politique de sécurité,
la motivation et la formation du personnel ainsi que par l’optimisation de
l’usage des technologie de l’information et des communications (TIC).
 La maitrise de la sécurité est une question de gestion. La sécurité informatique
passe par une gestion rigoureuse de la logistique, des ressources humaines, des
systèmes informatiques, des réseaux, des locaux et de l’infrastructure
environnementale et des mesures de sécurité.
 Exemple : Des techniques comme ceux chiffrement ou les firewalls ne
permettent pas de sécuriser un environnement à protéger s’ils ne sont pas inscrit
dans une démarche de gestion de risque précise.

76
3.1 Diriger la sécurité
 diriger la sécurité correspond à la volonté de maitriser:
- les risques correspondant à l’usage des technologies de l’information;
- les coûts pour se protéger des menaces;
- les moyens à mettre en place pour réagir à une situation non sollicité mettant en
danger la performance du système d’information et ainsi celle de l’organisation.
 La sécurité repose sur des axes complémentaires managérial, technique et
juridique qui doivent être traités de manière complémentaires.
 La sécurité n’est jamais acquise définitivement. La constante évolution des
besoin, des systèmes, de menaces et risques rend instable toute mesure de
sécurité.

77
3.2 Importance du juridique dans la sécurité
 Il est nécessaire que les responsables puissent prouver que des mesures
suffisante de protection du système d’information et des données ont été mises
en œuvre afin de se protéger contre un délit de manquement à la sécurité. Il
existe une obligation de moyen concernant les solutions de sécurité.
 Les responsables d’ organisation doivent être attentifs à l’ égard du droit des
nouvelles technologies et de s’assurer que leur système d’information est en
conformité juridique.
 Les enjeux juridique doivent être pris en compte dans la mise en place des
mesures de sécurité, qu’ils soient relatif à la conservation des données, à la
gestion de données personnelles des clients, etc.

78
3.3 Ethique et formation
 une éthique sécuritaire doit être élaborée au sein de l’ entreprise pour tous les
acteurs du système d’ information; elle doit se traduire par une charte
reconnue par chacun et par un engagement personnel à la respecter.
 Une charte d’utilisation des ressources informatiques et des services Internet
doit comprendre des clauses relatives:
- son domaine d’application
- les règles d’utilisation professionnelle, rationnelle et loyale des ressource;
- les procédés de sécurité;
- les condition de confidentialité;
-…
 Des actions d’ information et de formation sur les enjeux, les risques et les
mesures préventives et dissuasives de sécurité sont nécessaires pour éduquer l’
ensemble du personnel à adopter une démarche de sécurité.
 La signature de la charte de sécurité doit s’accompagner de moyens aux
signataires afin qu’ils puissent la respecter.

79
3.4 Architecture de sécurité
 L’architecture de sécurité correspond à l’ ensemble des dimensions
organisationnelle, juridique, humaine et technologique de la sécurité
informatique à prendre en considération pour une appréhension complète de la
sécurité d’une organisation.
 Disposer d’ un cadre architectural permet d’ avoir un référentiel de sécurité qui
facilite la réalisation opérationnelle de la sécurité ainsi que son évaluation lors
d’audit.
 La conception d’un système d’ information distribué et sécurisé passe
impérativement par la définition préalable d’une structure conceptuelle qu’ est
la l’ architecture de sécurité.

80
3.4 Architecture de sécurité

Dimension humaine Dimension technique

Ethique Sécurité matérielle Sécurité logique


Sécurité environnementale
Sensibilisation
Sécurité applicative Sécurité des
Formation Dissuasion télécoms
Compétence Surveillance Sécurité de l’exploitation
Etc.
Dimension juridique Dimension politique /économique

Normes Législation Responsabilité Contrôle


Organisation Optimisation
Procédures Fichiers normatifs
Mythologie Maitrise des cout
Conformité Licence logiciel Gestion Assurance
Etc. Evaluation Etc.

81
 Exercice 11 : Quels sont les objectifs de la sécurité informatique?
 Exercice 12 : Pourquoi la sécurité d’un réseau relève d’une problématique de
gestion?
 Exercice 13 : Justifier le fait qu’ on doit élaboré les mesures de sécurité d’un
manière globale?
 Exercice 14 : Discute la notion d’architecture de sécurité? explique comment
ses différentes dimensions sont complémentaires.

82
Plan

 Comprendre la criminalité
 Vulnérabilité d’ une infrastructure Internet
 Crime informatique et cybercriminalité
 Attaques informatiques via Internet
 Maitrise du risque informatique d’origine criminelle
 TP2: Prendre le contrôle d’ un PC à distance avec le logiciel VNC
(Implémentation d’ une porté dérobée ou Backdoor)

83
1. Comprendre la criminalité
 Trois sources de problèmes de sécurité existent :
o les pannes, mes erreurs et les accidents auxquels on associe l’ incompétence
( erreur de conception, de dimensionnement, d’administration système, de
programmation, d’utilisation, mise hors tension électrique d’ origine
accidentelle….);
o Les catastrophe naturelle (foudre, inondation, tremblement de terre…);
o La malveillance (vol, sabotage, destruction…)
 Il est nécessaire de s’ intéresser à la criminalité informatique, à la manière
dont elle s’exprime, et à ses acteurs afin de stopper les danger et intervenir le
plus efficacement possible lors de la survenue d’incident.
 En d’autre terme, il faut apprendre l'attaque pour mieux se défendre.

84
2. Vulnérabilité d’ une infrastructure Internet
1) Eléments de vulnérabilité d’une infrastructure Internet
Caractéristiques d’ Internet exploitées à des fins criminelles

Du point de vue des technologies Internet Caractéristiques du numérique


- technologie publique, ouverte - immatériel
- historique d’ évolution - virtuel
- n’ intègre pas en natif des mécanisme de sécurité - dématérialisation
- conception des technologies “best effort”
- disponibilité d’ outils de gestion réseau, Caractéristiques du système juridique
d’analyse de trafic, d’audit, de chiffrement - juridique multiple
- disponibilité d’ outils d’ attaque - paradis digital

De point de vue des utilisateurs


Du point de vue des systèmes - différent catégories : administrateurs systèmes,
- permissivité des configurations webmasters, gestionnaires, concepteurs,
- attractivité des systèmes (cible) développeurs, utilisateurs professionnels,
- gestion inadaptée individus, bidouilleurs, etc.
- approche parcellaire de la sécurité - nombre important et croissant
- formation et compétences variables
Du point de vue du réseau - caractère imprévisible
- connectivité étendue - comportement inadapté
- multiplicité, distribution des éléments - éthique insuffisante
constitutifs - mauvaise utilisation des solution de sécurité
- absence de contrôle global - gestion de la sécurité défaillante
- dimensionnement insuffisant

85
2. Vulnérabilité d’ une infrastructure Internet
2) Internet comme facteur de performance pour le monde criminel
Dématérialisation :
- La dématérialisation des transactions, des acteurs, des échanges ainsi que
l’usage par le criminel de solutions de stéganographie, de chiffrement, et
d’anonymat, permettent des liaisons entre criminels sans contact physique direct
(monde virtuel).
- Etant immatériel, l’information numérique acquiert une double vulnérabilité
relative à son contenant et son contenu (physique et logique).
- La notion de donnée d’origine n’a pas de sens (comme définir un vol de
donnée).
Universalisation et dépendance :
- La dépendance des institutions et des états aux technologique Internet, et l’
interdépendance des infrastructure critiques, introduisent un degré de
vulnérabilité non négligeable dans le fonctionnement normal des organisations.

86
2. Vulnérabilité d’ une infrastructure Internet
 Disponibilité d’ outils :
- La disponibilité d’outils d’ exploitation des failles des systèmes, l’existence de
bibliothèques d’attaques offrant une large gamme de logiciels malveillants
capitalisant le savoir-faire criminel dans un programme, contribuent à réaliser
des délits via des attaques informatiques.
- Le cyberespace, ou les actions se réalisent cachées derrière un écran et à
distance, facilite pour certains le passage à l’ illégalité sans parfois de prise de
conscience réelle de la dimension criminel de leurs actes.
 Relative impunité :
- Les criminel tirent profit de l’aterritorialité d’ Internet, de l’ inexistence dans
certains Etats de lois empêchant le crime informatique et des juridictions
multiple dont relève l’ Internet.
- Selon les pratiques morales et éthiques, tout ce qui est illégal off line est illégal
on line.

87
2. Vulnérabilité d’ une infrastructure Internet
3) Internet au cœur des stratégies criminelles
Le crime économique n’est pas uniquement réservé à la criminalité organisée
puisque les outils informatique et télécoms le mettent à la porté d’individus
isolés.
Internet permet la réalisation de crimes classiques (comme le blanchiment
d’argent, l’enrichissement illicite, l’ incitation à la haine racial…).
4) Risque d’ origine criminelle et insécurité technologique
La maitrise insuffisante des technologie du fait de leur complexité, la
dépendance à ces technologies et l’ interdépendance des infrastructures ainsi que
la réalité de la criminalité informatique, confèrent un certain degré d’ insécurité
inhérent à l’ usage extensif des nouvelles technologies et des risques associés.

88
3. Crime informatique et cybercriminalité
1) Elément de définition
Cyberespace un “ensemble de données numérisées constituant un univers
d’information et un milieu de communication, lié à l’interconnexion mondiale
des ordinateurs” (Petit Robert).
La cybercriminalité peut être déduite de celle de crime informatique, délit pour
lequel un système informatique est l’ objet du délit et/ou le moyen de le réaliser.
 Exemple 1 : Le blanchiment d’ argent est dénommé “crime des crimes” dans la
mesure ou il existe du fait d’ activités initiales illégales (argent du crime) et que
les revenue générés par le blanchiment permettent de réaliser d’autre crime.
Exemple 2 : Certains placement boursiers en ligne, site de e-commerce, cyber-
casinos, de e-banking, comme les transactions foncier et de l’ immobilier via le
net, la création de sociétés virtuelles “écran”, les portes monnaie électroniques
peuvent être utilisés pour effectuer les opérations de blanchiment.

89
3. Crime informatique et cybercriminalité
 Un crime informatique (computer related crime) est un délit pour lequel un
système informatique est l’ objet du délit et/ou le moyen de l’ accomplir. C’est
un crime lié aux technologie du numérique.
 Le cybercrime (cybercrime) est une aspect du crime informatique qui fait
appel aux technologies internet pour sa réalisation. Cela concerne tous les délits
accomplis dans le cyberespace.

Crime informatique
Cybercrime

Acte réalisé caché derrière un écran et à distance


Ubiquité du criminel dans l’ espace et dans le temps
Savoir-faire criminel embarqué dans le logiciel Cible
Commission automatisée des délits, à grande échelle

Système informatique
Objet du délit et/ou moyen de réalise un délit

90
3. Crime informatique et cybercriminalité
2) Dimension terroriste des cyberattaques
La dimension terroriste des cyberattaques concerne celles portant sur des
systèmes impliquées dans des infrastructures critiques, essentielles au bon
fonctionnement des activités d’un pays (énergie, eau, transport, logistique
alimentaire, télécommunications, banque et finance, services médicaux, fonctions
gouverneaux, etc.). Ces derniers voient leur vulnérabilité augmentée par un
recours intense aux technologies Internet.
Actuellement, la définition du cyberterrorisme n’est pas claire. Une définition
simple serait de considérer le cyberterrorisme comme du terrorisme appliqué au
cyberespace.
“Le terrorisme fait référence à l’emploi systématique de la violence pour
atteindre un but politique” (Petit Robert) .

91
3. Crime informatique et cybercriminalité
 Dans ce cadre de comprendre le concept de terrorisme numérique, nous
sommes en droit de nous demander :
- De quelle façon des actes portant atteinte à l’ intégrité de systèmes ou de
données informatiques constituent une violence physique ou morale
suffisamment importante pour générer la peur et constituer des moyens de
pression contribuant à la réalisation d’ objectif politiques déterminés;
- Est-ce un blocage partiel ou total éventuel d’ Internet, suite à des actes de
malveillance, serait susceptible de provoquer la peur , la terreur auprès de la
population? Au sein de la communauté des internautes? De certains acteurs
économiques particuliers?
- Ne s’ agirait-il plutôt et le plus souvent de terrorisme économique visant les
entités qui réalisent des activités grâce à l’ Internet?

92
3. Crime informatique et cybercriminalité
3) Nouvelles menaces
La sécurité intérieure d’ un pays est actuellement confrontée à des formes d’
expression de menaces criminelles liées à l’ existence des technologies de l’
information.
Les technologies d’ Internet sont au centre de la guerre de l’information
(infoguerre, infowar) dont les enjeux sont avant tout d’ ordre économique et les
impacts importants pour le bon déroulement des activités.
Internet permet non seulement le traitement de l’ information mais est aussi un
outil privilégié pour répandre des rumeurs ou toute forme d’ intoxication ou de
compagne de déstabilisation. Les activités d’espionnage est de renseignement
par exemple sont facilitées puisqu’ il est devenu aisé d’ intercepter des
informations transférées sur Internet.

93
4. Attaques informatiques via Internet
1) Schéma et étapes de réalisation d’ une attaque

Phase de collecte d’
1 information
Recherche de
vulnérabilité
Malveillan Ingénierie sociale Cible
t
Savoir faire et
exploitation des
informations 2 4
recueillies et des
failles nd ’ une Problèmes
réal is a t i o Intrusion
sécuritaires
i o n /
t
Créa e
u
Bibliothèque attaq
d’attaques: 3
- Usurpation de mots de 5
passe Pertes directes
- leurres Pertes indirectes
- Failles technologique, Extra
de conception, de filtration
configuration, etc.

94
4. Attaques informatiques via Internet
 La première phase de la réalisation d’ une attaque est liées à la collecte d’
information sur la cible et à la recherche de vulnérabilité d’ un système (phase
1).
 Le malveillant s’emploie à connaître et à exploiter les failles se sécurité
connues mais non encore réparées (non patchées) et à utiliser les outils d’
attaques éventuellement disponibles en ligne (phase 2) pour accéder au système
cible et exécuter son action malveillante (phase 4).
 La phase d’ exfiltration (phase 5) a pour buts principaux de faire en sorte que
l’ attaque ne puisse être détectée et que l’ attaquant ne laisse pas de trace
pouvant servir à son identification. Pour arriver à cela, il tente de rester
anonyme, il peut alors utiliser des alias (pseudonymes), usurper l’ identité
numérique d’ utilisateurs ou encore brouiller les pistes en passant par plusieurs
systèmes intermédiaires (relais).

95
4. Attaques informatiques via Internet
2) Attaques actives et passives
Les attaques sont généralement fondées sur l’usurpation de paramètres de
connexions, de mots de passe d’ayant droit ainsi que sur le leurre et l’
exploitation de failles et vulnérabilités.
Les attaques qui modifiant les données sont dites attaques actives, tandis que
celles relevant de l’ écoute – interception (man in the middle) sans altération des
données sont qualifiées d’ attaques passives.

Attaque passive Attaque active


Interception, écoute Modification, fabrication, interruption, déni de
service

Confidentialité Disponibilité Intégrité Authenticité

96
4. Attaques informatiques via Internet
3) Attaque fondées sur l’ usurpation de mots de passe
Pour posséder les mots de passe des utilisateurs, le fraudeur dispose d’ une
panoplie d’ astuces:
- Le mot de passe est évident à deviner (prénom de la personne, du conjoint, de
ses enfants, dates de naissance, etc.).
- Le mot de passe peut être volontairement communiqué par l’ utilisateur lui-
même par complicité.
- Le fraudeur peut leurrer (tromper) les utilisateurs, par téléphone en se faisant
passer pour un administrateur réseau et demander pour des raison techniques par
exemple, les paramètres de la connexion. Aussi la pèche aux informations de
connexion passe par la messagerie (phishing).
Note : le phishing est l’ exploitation de la messagerie pour leurrer les internautes
afin de les inciter à livrer eux-mêmes, sur un site web, leurs informations
sensibles (identifiants, mots de passe, numéros de compte…) qui seront ensuite
exploitées à des fins malveillantes.

97
4. Attaques informatiques via Internet
 Il suffit de réaliser une écoute passive par surveillance (sniffer) des paquets IP
qui transitent sur un réseau pour connaitre des mots de passe véhiculés en clair
par les protocoles de communication.
 Note : Un sniffer est une entité passive et sa présence est très difficile à
détecter. Pour restreindre son champ d’action, une parade envisageable consiste
à segmenter le réseau.
 En cas de capture de mot de passe crypté, le malveillant tentera par exemple de
deviner le mot de passe en essayant toutes les permutations possibles pouvant
constituer une clé pour déchiffrer le mot de passe. Il peut utiliser l’attaque en
force (brute force attack) ou une attaque par dictionnaire (dictionary attack).
 Pour s’approprier des mots de passe, on peut introduire dans le poste de travail
de l’usager, un logiciel espion ou encore un cheval de Troie. Il s’agit d’ un petit
programme qui se substitue généralement à celui qui permet d’ effectuer le
login et demande à l’utilisateur son identification et son mot de passe. Le mot
de passe est alors directement capturé et mémorisé par le cheval de Troie qui l’
envoi au serveur de messagerie anonyme auquel se connectera le fraudeur.

98
4. Attaques informatiques via Internet
 Les micro-ordinateurs ont pour la plupart un camera vidéo et un microphone.
Ces périphérique activés à la disposition de l’ utilisateur, comme des dispositif
logique ou physique d’ espionnage permettant de surveiller et de capter de l’
information sans le consentement de l’ utilisateur (avoir les mots de passe).
 Pour qu’ un système d’authentification fonctionne, il est nécessaire de
sauvegarder dans un serveur, et de manière sur les mots de passe des
utilisateurs. Il ne faut pas autoriser un accès anonyme sur le serveur d’
authentification, et désactiver le protocole TFTP ( Trivial File Transfer
Protocol) qui permet d’avoir accès à des fichiers sans le contrôle d’
authentification.
 La seul méthode d’authentification qui propose une protection réelle contre
l’utilisation de mots de passe dérobés est celle fondée sur des mots de passe à
usage unique (smart card).
 Note 1 : Il existe des identification biométrique.
 Note 2 : Un utilisateur peut se voir accusé des malveillances commises par l’
usurpateur de ses paramètres de connexion.

99
4. Attaques informatiques via Internet
4) Attaques fondées sur le leurre
La réalisation de malveillances basées sur le leurre se base sur l’ usurpation d’
identité, des paramètres de connexion, d’ adresse IP, sur des modification
affectant le routage (redirection de flux de données), sur le vol de connexion TCP
ou sur le détournement de flux applicatifs.
Les malveillances exploitent les possibilités intrinsèques des divers protocoles
de communication d’ l’ Internet. L’ exploitation frauduleuse de ces technologies
est l’ expression d’ une forme d’escroquerie électronique qui permet de leurrer
les systèmes et les utilisateurs.

100
4. Attaques informatiques via Internet
5) Attaques fondées sur le détournement des technologies
Une attaque menant à un déni ou refus de service peut être réalisées en
sollicitant excessivement des ressources. N’ ayant pas la capacité de traiter un tel
afflux de demandes, les systèmes ciblés surchargés par un trop grand nombre de
requêtes (légales), s’ effondrent et deviennent indisponibles.
Exemple : Il peut s’agir d’ attaque par inondation de messages (e-mail
bobming). Cela consiste à submerger la boite aux lettres électroniques d’ un
utilisateur par un grand nombre de messages, ce qui entraine, outre des
désagréments, des dénis de service.
La majorité d’ attaques dont sont l’objet les sites web des entreprises, sont celles
qui les rendent indispensable. Les cibles de ce type d’attaque sont tous les
systèmes jouant un rôle important dans la réalisation des services (serveurs web,
routeurs, serveurs de nom, etc.).

101
4. Attaques informatiques via Internet
6) Attaques fondées sur la manipulation d’ information
plusieurs d’attaques consistent en une modification de la page d’ accueil d’ un
site web (defacemnt attack). Les fraudeurs substituent une page de leur
conception, dont le contenu est variable selon leur motivation, à une vraie page
du site.
Des variantes plus lucratives de ce genre d’ attaque ont pour objectif de
rediriger l’ utilisateur vers un faux site, ressemblent exactement à celui auquel il
s’est initialement connecté, afin de lui soustraire par exemple son numéro de
carte bancaire lors d’action de phishing par exemple.
Il est possible de s’attaquer à des sites d’information et de altérer le contenu de
certaines pages ou dépêches pour provoquer des mouvements de panique, ou
faire fluctuer le cours d’actions d’une société par exemple (infoguerre).
Note : Les possibilités de manipulation des opinions sont alors sans limite et
peuvent avoir des conséquences plus ou moins importantes pour les individus.

102
5. Maitrise du risque informatique d’origine criminelle
1) Limites des solutions de sécurité
Quelles que soient les motivations des acteurs de la criminalité informatique,
celle-ci génère toujours des conséquences économiques non négligeables
fragilisant les organisations. C’est à la sécurité informatique de contribuer à
réduire le risque technologique encouru.
Les solution de sécurité informatique sont des réponses statiques à un problème
dynamique mais surtout des reposes d’ordre technologique à des problèmes
humains, criminels, managériaux et légaux.
La diversification des éléments matériels, logiciels, réseaux et des acteurs
impliquée comme l’ inexpérience et l’ inconscience de certains utilisateurs,
favorisent l’expression de la criminalité informatique.

103
5. Maitrise du risque informatique d’origine criminelle
2) Complexité du problème
L’expertise des attaquants, la sophistication de l’efficacité des attaques, les
boites à outils d’attaques ainsi que le nombre d’ attaques ne cessent de croitre.
Non seulement le nombre de personnes, de system et d’organisations connectés
à internet augmente, mais les infrastructures de traitement et de communication
de l’information possèdent des failles intrinsèques de sécurité.
Exemple : Il est illusoire de penser que des solutions d’ordre technologique ou
juridique viendront suppléer les erreurs de conception et de gestion de
l’informatique et des télécoms, que cela au niveau stratégique, tactique ou
opérationnel.
Les technologies de sécurité existent, mais elles peuvent être défaillante, induire
de nouvelles failles, générer de nouveaux risques, être incohérents, avoir des
implémentations complexes ou encore être contournées par des procédures
parallèles.

104
5. Maitrise du risque informatique d’origine criminelle
3) Approche interdisciplinaire de la sécurité
Il est impératif de concevoir et de réaliser des plans de continuité et des plans de
secours qui intègrent les contraintes liées à l’ investigation et à la poursuite de la
criminalité informatique. Cela se résume, à la résolution d’une problématique de
ratios notamment entre les couts des mesures et les impacts des délits potentiels,
et entre les délais d’intervention des investigateurs et les délais de restauration
des contextes de travail.
La diversité et la pluralité des acteurs (ingénieurs, développeurs, auditeurs,
intégrateurs, juristes, investigateurs, clients , fournisseur, utilisateurs, etc.), la
diversité d’ intérêts de visions, d’environnements, de langages rendent difficile la
cohérence globale des mesures se sécurité.
Seules une appréhension globale et systématique des acteurs et intervenants
pourraient contribuer à offrir le niveau de sécurité attendu.

105
5. Maitrise du risque informatique d’origine criminelle
4) Lutte contre la cybercriminalité et respect de l’ intimité numériques
Les outils de lutte contre la criminalité informatique peuvent potentiellement
mettre à mal les droits de l’Homme et aller à l’ encontre de la confidentialité des
données personnelles.
Exemple: la sécurité passe par la surveillance, le contrôle et le filtrage des
communications. Toutefois, des garde-fous doivent être mis en place pour éviter
des abus de pouvoir , de situation dominante et toutes sortes de dérives
totalitaires afin de garantir le respect des droits fondamentaux, notamment celui
du respect de l’ intimité (numérique) et de la confidentialité des données à
caractère personnel.

106
5. Maitrise du risque informatique d’origine criminelle
5) Typologie des comportements des organisations face au risque informatique d’
origine criminelle
Chiffre noir de la cybercriminalité : le manque de statistiques officielles trouve
largement ses origines par le fait que les organisations :
- Ne souhaitent pas forcement communiquer le fait qu’elles sont ou ont été
victimes d’in acte cybercriminel; ce qui révèlerait leur vulnérabilité
technologique ou défaillance sécuritaire;
- Ignorent qu’ elles sont victimes d’ une malveillance,
- Ne savent pas gérer une situation de crise,
-…
Culture de la sécurité : il faut distinguer les organisation qui possèdent une
culture de la sécurité et qui se sont dotées de moyens financiers, organisationnels,
humains et technologique pour gérer la sécurité de leur système d’information, de
celles qui ne l’ont pas.

107
5. Maitrise du risque informatique d’origine criminelle
 Nuisance liées au spam, Virus, Phishing : On constate une augmentation des
programmes malveilants ou indésirables s’ exécutant à l’insu de l’utilisateur. Il
s’agit de télécharger et implanteur (downloader), keyloggers, bot-rebots, de
logiciels publicitaires (adware, advertising softaware) ou de logiciel espion
(spyware, spying software).
 Intrusion des systèmes : l’intrusion des systèmes peut conduire par exemple à
l’espionnage, à l’installation de programme malveillants, à la prise de contrôle
des systèmes, à la falsification de site web, au vol de données, à des dénis de
service.
 Les responsables sécurité s’attachera à limiter la propagation d’une attaque (en
déconnectant du réseau la machine ou les machines atteints), à réduire les
impacts de l’attaque et à réparer les atteintes ou dégâts engendrés.
Eventuellement, il cherchera à comprendre l’incident et à en identifier l’origine.
 Chantage : les alternatives offertes aux organisations sont les suivantes:
- ignorer la demande;
- signifier que l’entreprise possède des moyens d’identifier le malveillant;
- payer la rançon demandée;
- dénoncer aux autorités compétentes la tentative de racket, etc.
108
5. Maitrise du risque informatique d’origine criminelle
6) Pour une approche complémentaire de la maîtrise de la criminalité et de la
sécurité
Prise en conscience internationale, sujet de débats politique et juridique mais
aussi sujet d’études technologique, sociologique et économique, la
cybercriminalité touche les individus , les organisations et les états.
Sa maîtrise ne peut donc se réduire à son appréhension selon une seule
dimension, qu’elle soit légale ou technique, au détriment de toutes les autres.
Seule une approche interdisciplinaire du phénomène pourra contribuer à l’
apprécier et donc à mettre en place des mesures efficaces de prévention et de
réduction.
Cependant, les cyberattaques ne modifient pas le champ d’application de la
sécurité informatique. Il s’agit toujours d’assurer les mêmes critères de base : la
disponibilité, la confidentialité, l’ intégrité, la preuve, l’authenticité.

109
 Exercice 15 : Pourquoi l’ouverture des systèmes d’information des
organisations par le réseaux de télécommunications pose - t- elle des problèmes
des sécurité?
 Exercice 16 : Quelles sont les caractéristiques d’ Internet qui peuvent être
exploitées à des fins criminelles?
 Exercice 17 : Quels sont les évènements qui ont contribué à l’évolution de la
perception de la menace cybercriminelle?
 Exercice 18 : Quels sont les principaux types d’attaques réalisables via
internet?
 Exercice 19 : Quels sont les principaux dangers liés à la messagerie
électronique en matières de cybercriminalité?
 Exercice 20 : Quelles sortes de délits sont favorisées par Internet?

110
Plan

 Connaitre les risques pour les maîtriser


 Vision stratégique de la sécurité
 Définir une stratégie de sécurité
 Prise en compte des besoins juridiques
 Sécurité et société de l’ information

111
1. Connaitre les risques pour les maîtriser
 Pour une entreprise, l’objectif de la sécurité informatique est de garantir
qu’aucune perte ne puisse mettre en danger son développement.
 Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à
diminuer les atteintes ou dysfonctionnements, et permettre le retour à un
fonctionnement normal à des coûts et des délais acceptables en cas d’ incident.
 Une stratégie de sécurité est élaborée selon deux approches :
- démarche proactive : avoir une conduite générale de protection et de
l’organisation de la défense ;
- démarche réactive : l’ élaboration de plans de réaction.
 La sécurité informatique s’ inscrit dans une démarche d’ intelligence
économique afin de maîtriser des risques technologiques, opérationnels et
informationnels.

112
1. Connaitre les risques pour les maîtriser
 Objectifs de la sécurité :

Incident

Protection Défense

Mesures proactives Mesures réactives

- Diminuer la probabilité de - Limiter les atteintes et les


la survenue des menaces dysfonctionnements
- Retour à un état normal

INTELLIGENCE ÉCONOMIQUE

113
1. Connaitre les risques pour les maîtriser
 une démarche sécuritaire est constitué de trois phases principales.
Stratégie Valeurs/Analyse des risques Stratégie de
Risque opérationnel
d’entreprise Risque informatique sécurité
Risque informationnel
Risque technologique
Risque financier
Risque d’image
Risque de réputation
Risque résiduel
1 …

ANALYSE
Politique de sécurité

Mesures de sécurité
2 Outils
MISE EN OEUVRE Procédures

3 Évaluation
Optimisation
CONTRÔLE ET SUIVI

114
1. Connaitre les risques pour les maîtriser
1) Première phase :
 la première phase (1) consiste à connaitre les valeurs de l’organisation, leur
degré de vulnérabilité en fonction de menaces et le risque de perte totales ou
partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée.
Il s’agit d’ élaborer une véritable stratégie de protection et de gestion de la
sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu’
encoure l’organisation.
La pertinence de l’analyse des risques dépendra de l’identification exacte des
moyens et des mesures à mettre en ouvre pour sécuriser efficacement les
ressources de l’organisation.

115
1. Connaitre les risques pour les maîtriser
2) Deuxième phase :
 La phase suivante (2) consiste à choisir et à mettre en place les outils, mesures
et procédures nécessaires à la gestion des risques et à la sécurité des systèmes,
services et données.
L’ optimisation de la démarche sécuritaire passe par l’ élaboration de :
- la politique de sécurité pour répondre aux exigences de maitrise des risques;
- la pertinence de la stratégie envers les risques encourus;
- l’adaptation des solutions de sécurité aux besoins en fonction des moyens
financiers dégagés;
- l’adéquation de mesures les unes par rapport aux autres.
3) Troisième phase :
une évaluation périodique (phase 3) voir continue des mesures de sécurité en
vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l’
évolution de l’ environnement dans lequel elles s’inscrivent.

116
1. Connaitre les risques pour les maîtriser
 Implémenter une stratégie de sécurité consiste à faire le compromis les plus
judicieux possible entre :
- le coût des mesures de sécurité à supporter pour éviter les risques qui
pourraient affecter le patrimoine d’une entreprise,
- et le coût des impacts de ces risques s’il n’y avait pas de mesures.
 Pour définir une stratégie, il n’existe pas de stratégie “recette”. Chaque
organisation a son propre stratégie : contexte d’environnement informationnel,
de scenario de risque, etc.
 Il existe des invariants méthodologique qui simplifient l’ appréhension d’une
démarche sécuritaire.
 Exemple : Une organisation peut annuler la mise en œuvre d’ un dispositif de
secours (backup) de son centre informatique au regard de son coût si ce coût
peut s’avérer très élevé en termes de ressources à utiliser .

117
1. Connaitre les risques pour les maîtriser
 Risques et plan d’action sécurité:

Analyse de risque
Évaluation
Contrôle
Identification des valeurs
Validation
Optimisation
Analyse des menaces

Identification des impacts

Politique de sécurité
Pilotage
Moyens financiers, organisationnels, humains, technologique,
Mise en œuvre opérationnelle de mesures efficaces de sécurité

Maîtrise de risques
118
2. Vision stratégique de la sécurité
1) Fondamentaux
Il faut que les solutions de sécurité informatique assurent tout ou une partie des
propriétés suivantes:
- La disponibilité (aucun retard) : permet l’accessibilité en continu sans
dégradation, ni interruption;
- L’ intégrité (aucune falsification) : maintient intégralement les données et les
programmes sans altération;
- La confidentialité (aucune écoute illicite) : permet de maintenir le secret de
l’information et assure l’ accès aux seules entités autorisées (intimité numerique);
- La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils
sont conservés le temps nécessaire;
-La non-répudiation et l’imputabilité (aucune contestation) : garantit la
connaissance de l’origine et de la destination d’ une action ainsi que l’
identification des entités responsables;
- Le respect des contraintes règlementaires ou légales (aucun risque juridique);
- L’authentification (pas de doute sur l’identité d’ une ressource)

119
2. Vision stratégique de la sécurité
 Identifier les valeurs d’ une organisation et exprimer leur besoins en termes de
critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au
travers :
- d’outils (firewalls, antivirus, protocoles cryptographiques, …)
- de procédures (mots de passe , mises à jour d’ antivirus, mises à jour d’ un
système d’exploitation, …);
- de personnes (utilisateurs, administrateurs,…)
 Les mesures de sécurité sont identifiées, gérées et optimisées par des
procédures de gestion. Au delà de la nécessaire dimension d’ ingénierie de la
sécurité, la sécurité relève avant tout d’un acte de management.
 Note : réduire seulement la sécurité à sa dimension technologique, c’est assurer
son échec!

120
2. Vision stratégique de la sécurité
2) Mission de sécurité
Entamer une mission se sécurité peuvent se décliner de la manière suivante :
- concevoir un plan d’ action de sécurité après une analyse préalable des risques;
- identifier une politique de sécurité;
- faire un arbitrage entre les besoins de sécurité, risques et coûts;
- déterminer le périmètre de vulnérabilité lié à l’ usage des nouvelles
technologies;
- offrir de manière dynamique un niveau de protection adapté aux risques
encourus;
- mettre en pratique et valider les mesures, les outils et les procédures de sécurité;
- faire un suivi, contrôler et faire évoluer les mesures et plan d’ action de sécurité;
- enfin, optimiser la performance du système d’ information en fonction du degré
de sécurité requis.

121
2. Vision stratégique de la sécurité
3) Principes de base
L’ élaboration d’une démarche sécurité repose sur des principes suivants:
- Principe de vocabulaire - nécessité de s’adapter, au niveau de l’ organisation,
sur un langage commun de définition de la sécurité.
- Principe de volonté directoriale - les dirigeants sont responsabilité de libérer
les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité
informatique.
- Principe financier - le budget d’ implémenter la sécurité doit être adapté vis-à-
vis des objectifs de sécurité fixés.
- Principe de cohérence - la sécurité d’un système est le résultat d’ une
intégration harmonieuse des mécanismes, outils et procédures.
- Principe de simplicité et d’ universalité - les mesures doivent être
compréhensibles, simples par les utilisateurs.
- Principe de dynamicité - la sécurité doit être élaborée dynamiquement pour
intégrer la dimension temporelle de la vie des systèmes et l’ évolution des
besoins et des risques.

122
2. Vision stratégique de la sécurité
-Principe de continuum - l’organisation doit continuer à fonctionner même
après la survenue d’ incident (procédures de gestion de crise).
- Principe d’ évaluation, de contrôle et d’ adaptation - Il est très important
de pouvoir évaluer durablement l’ adéquation des mesures de sécurité. Cela
permet de vérifier et de contrôler que les risques sont maitrisés et d’adapter
dans le besoin les solutions de sécurité.
4) Conditions de succès
Les conditions de succès d’une approche sécuritaire sont :
- une démarche stratégique de la sécurité
- la politique de la sécurité doit être publiée
- un certain degré de confiance envers les personnes, systèmes, outils
impliqués;
- une éthique des acteurs
- des procédures de surveillance, d’ enregistrement et d’audit;
- le respect des contraintes légales et juridique
-…

123
2. Vision stratégique de la sécurité
5) Approche pragmatique
Axes stratégiques, tactiques et opérationnels de la sécurité :

124
2. Vision stratégique de la sécurité
6) Bénéfices
La sécurité est à énumérer comme un facteur critique de succès d’ une
organisation et non pas comme une source de coût (charge) ni un frein à la
réalisation de la stratégie de l’entreprise.
La sécurité n’est pas une contrainte additionnelle à intégrer dans la stratégie des
entreprises mais constitue un outil de production (faisant partie des éléments
fondamentaux de la stratégie de l’entreprise).
Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de
compétitivité assurant à une meilleur rentabilité.
Considérant la sécurité comme un facteur de qualité, elle pose le problème de
sa mesure et donc de la détermination des indicateurs et métriques associés.
Note : la sécurité ne permet pas directement de gagner de l’ argent mais évite
d’en perdre.

125
2. Vision stratégique de la sécurité
7) Aspects économique
Les coûts suivant contribue à estimer de manière approximative le retour sur
investissement de la sécurité:
- Perte ou baisses de productivité consécutives aux problèmes de
dysfonctionnements et à l’indisponibilité, perte de parts de marché , pénalités de
retard, etc.
- Coût généré par des pertes d’image, impacts au niveau des clients, partenaires,
sous-traitants, fournisseurs, etc.
- Coûts d’assurance, de gestion, d’ investigation, salaires des experts, etc.
- Coûts de reprise après incidents, de la gestion de crise, de restitution, de
reconstitution des données, de remise en état, de remplacement des systèmes, etc.

126
3. Définir une stratégie de sécurité
1) Stratégie générale
La diversité des solutions peuvent créer un problème de cohérence globale de
la démarche de sécurité.
Exemple 1 : La technologie ne suffit pas mais elle doit être intégré dans une
démarche de gestion de sécurité.
Exemple 2 : La sécurité d’ un système particulier n’est que une composante de
la sécurité globale d’ une entreprise.
Beaucoup de stratégies de sécurité existent, de politiques de sécurité, de
mesures, de procédures ou de solutions de sécurité que d’organisations et de
besoins sécuritaires à satisfaire à un moment donné.
Politique de sécurité et risques font l’objet d’ une actualisation et d’ une
évaluation permanentes.

127
3. Définir une stratégie de sécurité
 De la stratégie d’ entreprise à la stratégie sécuritaire:

Stratégie Services ICT de qualité


répondant à la stratégie de l’entreprise
d’entreprise

Sécurité informatique :
Stratégie de Technologiques
Procédures
sécurité Organisationnelles
Juridiques
Humaine

Politique de sécurité Mesures de sécurité

1) ICT (Information and Communication Technologies) : Technologies de l'information et de la communication.


128
3. Définir une stratégie de sécurité
2) Compromis et bon sens
La sécurité : une question de compromis

Coût de la
Coût du risque maîtrise des Réduire les risques
Besoin de protection risques à un niveau acceptable
Maitrise
Minimiser les pertes
Risques des
risques
Permettre un usage
efficace des
Besoin de production
technologies

Politique de sécurité

129
3. Définir une stratégie de sécurité
 La sécurité : une question de bon sens
La sécurité doit être
Plus grande est la fonction des risques
récompense, plus grand est et proportionnelle
le risque de pénétration d’ aux enjeux
un système
La sécurité n’est
La qualité des outils
jamais acquise
de sécurité dépend de
définitivement,
la politique de
elle se vit au
sécurité qu’ils
Une question quotidien
servent
de bon sens
La sécurité est Une politique de
l’ affaire de sécurité ne doit pas
tous être conçue à partir de
limitations
Le plus dur n’est pas de particulières de
décider quelle est la certains systèmes
Trop de sécurité
technologie de sécurité à
est aussi
appliquer mais d’ identifier
problématique
pourquoi on doit l’appliquer et
que pas assez
sur quoi
130
3. Définir une stratégie de sécurité
3) Responsabilité
Les responsable de la sécurité des systèmes d’information sont des prestataires
de services pour la partie de la sécurité qui ils gèrent et contrôlent.
Leur accès aux ressources informatiques implique en plus d’une intégrité sans
faille, des procédures de surveillance et de contrôle de leurs actions
particulièrement strictes, à la mesure des risques qu’ils font potentiellement
courir aux systèmes qu’ils gèrent.
L’ augmentation des affaires criminelles ayant une origine interne, impliquant
la complicité d’informaticiens, doit obliger les organisation à traiter la question
de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes
peu scrupuleuses.

131
3. Définir une stratégie de sécurité
3) Nouveaux risques, nouveaux métiers
Métiers concernant la sécurité :
- Chief Security Officer (CSO) - Il s’agit de la personne responsable de toute la
sécurité de l’organisation.
- Chief Information Securitty Officer (CISO) - La personne assumant la
responsabilité de la sécurité des informations au sein d’une organisation.
Diverses fonctions ou missions spécifique existent comme par exemple:
- Responsable de la sécurité des systèmes d’information;
- Responsable de la sécurité des réseaux;
- Responsable de la sécurité des systèmes;
- Responsable de la veille technologique en matière de sécurité;
- Auditeur de la sécurité;
- Architecte de la sécurité
-…

132
4. Prise en compte des besoins juridiques
1) Sécurité et répression du crime informatique
Actuellement, la cybercriminalité est mal maitrisée comme le prouvent les
chiffres du sondage annuel du CSI (Computer Security Institut) ou les
statistiques du CERT (Computer Emergency Readiness Team).
Les motifs de tel situation sont notamment liées:
- Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire
embarqué dans le logiciel , réalisation à distance);
- À la pénurie de ressources humaines et matérielles au sein des services chargés
de la répression des délits informatiques;
- À la difficulté à qualifier les faits au regard de certaines législations pénales;
-…
Note: CSI (www.gocsi.com)
CERT(www.us-cert.gov)

133
4. Prise en compte des besoins juridiques
2) Infraction, responsabilité et obligations de moyens
Crimes et délits contres les personnes:
Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation
d’une personne-atteinte au secret professionnel - atteinte aux mineurs-
harcèlement…
Crimes et délit contre les biens:
Escroquerie - fraude - crime économique et financier - vol - modification,
destruction de ressources - chantage - piratage des systèmes…
Provocation aux crimes et délits:
Apologie des crimes contre l’humanité – apologie et provocation au terrorisme –
provocation à la haine raciale – négationnisme …
Infraction à diverse règlementation (code civil, code des obligations, code
pénal, code de la propriété intellectuelle, droit de l’ audiovisuel, des contrats,…):
Contrefaçon d’une œuvre de l’esprit (logiciel), d’une image, dessin - contrefaçon
de marque - téléchargement illégale - participation à la tenue d’une maison de
jeux au hasard (cybercasino) - infraction de presse…

134
4. Prise en compte des besoins juridiques
3) Prendre en compte la sécurité en regard de la législation
Il est très important que les responsable de sécurité des organisations soient
sensibilisées aux contraintes d’une enquête policière (documentation minimale
relative à l’incident, conservation des traces, etc.).
L’organisation doit être prudente au respect de la protection des données à
caractère personnel de ses employés comme celles des ses clients, fournisseurs
ou partenaires.
Dans la majorité des pays, la législation recommande que la mise en œuvre de la
cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de
l’informatique et des télécommunications.

135
4. Prise en compte des besoins juridiques
4) La confiance passe par le droit, la conformité et la sécurité
L’intelligence est devenu un facteur clé de succès de la réalisation de la sécurité
informatique.
Exemple : la responsabilité pénale des acteurs (comme le responsable sécurité
ou du directeur de systèmes d’information) est de plus en plus invoquée si les
ressources informatiques qu’ ils gèrent, sont l’objet ou le moyen d’une délit.
Les responsables d’ organisations doivent être extrêmement attentif à l’ égard du
droit de nouvelles technologies et leur système informatique doit être en
conformité juridique.

136
4. Prise en compte des besoins juridiques
5) Règlementation international
La première règlementation internationale (et la seule), contribuant à donner
la dimension internationale de la cybercriminalité est la convention sur la
cybercriminalité-Budapest 23 novembre 2001.
Exemple de point abordé : les états doivent établir leur compétences à l’ égard
de toute infraction pénale lorsque cette dernière est commise sur son territoire.
Il y a aussi des lignes directives de l’OCDE (Organisation de Coopération et de
Développement Economique). Voila deux exemples de points évoqués:

La sécurité des systèmes et des réseaux


Démocratie d’information doit être compatible avec les
valeurs fondamentales d’une société démocratique.
Conception et mise Les parties prenantes doivent intégrer la sécurité en
en œuvre de la tant qu’un élément essentiel des systèmes et
sécurité réseaux d’information.

137
5. Sécurité et société de l’ information
1) Pour une société de l’information sûre
L’ état a des responsabilités importantes pour la réalisation d’une sécurité
numérique:
- Il doit définir les lois;
- Il doit favoriser et encourager la recherche et le développement en matière de
sécurité;
- Il doit promouvoir une culture de la sécurité et du respect de l’intimité
numérique;
- Il doit imposer le respect d’un minimum de normes de sécurité.
2) Respect des valeurs démocratiques
Replacer l’ être humain et les principes démocratiques dans les technologies de
l’information (et dans les solutions de sécurité) est nécessaire pour donner les
moyens aux internautes de devenir des cybercitoyens avertis, et non pas des
consommateurs vulnérables et dépendants.

138
 Exercice 21 : Que recouvre la notion de stratégie de sécurité?
 Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un processus continu?
 Exercice 23 : Dans quelles mesures la sécurité informatiques est - elle
résultante d’un compromis?
 Exercice 24 : Dans quelle mesure la conformité réglementaire se décline-t-elle
comme un besoin de sécurité?
 Exercice 25 : Pourquoi la compréhension du risque juridique par des
responsables de la sécurité informatique est importante?

139
Plan

 Gouverner la sécurité
 Gestion du risque informationnel
 Politique de sécurité
 Méthodes et normes de sécurité
 TP3 : Utiliser le logiciel Wireshark pour :
- Découvrir les caractéristiques générales et l'encapsulation des protocoles du
modèle TCP/IP;
- Analyser le trafic réseau.

140
1. Gouverner la sécurité
1) Mise en perspective
Gouverner la sécurité illustre la volonté de diriger, d’influencer, de conduire
de manière déterminante la sécurité et de maîtriser les risques liés à l’insécurité
technologique.
La gouvernance a pour but d’ assurer que les solutions de sécurité sont
optimales. entre autres, elle vérifie qu’elle est en mesure de répondre de manière
exacte aux questions: Qui fait quoi? Comment et quand?
2) Gouvernance de la sécurité de l’information
Gouverner la sécurité peut être perçu comme un processus pour établir et
maintenir un cadre supportant la structure de gestion qui permet de réaliser la
stratégie de sécurité.
Gouverner la sécurité c’est protéger les actifs informationnels contre le risque
de perte, d’ interruption, d’abus, de divulgation non autorisée, ou de risques
juridiques liés à la responsabilité légale des acteurs.

141
1. Gouverner la sécurité
3) Principes de base de la gouvernance de la sécurité
Principes d’une méthode de gouvernance pour la mise en place d’une politique
de sécurité.
Responsabilité - Une instance assurant la gouvernance doit être responsable de
la tâche qui lui appartient.
Proportionnalité - Les investissements doivent être en proportionnels au risque
informationnel encouru par l’ organisme .
Conscience - Les entités directrices sont conscientes du l’importance des actifs
informationnels de l’entreprise et ainsi du rôle de la sécurité.
Conformité – La démarche de la sécurité doit être conçues en conformité avec
les exigences légale de tous niveaux.
Efficacité - Les actions à entamer doivent satisfaire les objectifs
Ethique – L’ exploitation des ressources informationnelles au sein de
l’entreprise doit être éthiquement correcte
Inclusion – Les objectifs de toutes les parties intéressées par la démarche
doivent être prises en considération.

142
1. Gouverner la sécurité
 Equité – Les entités directrices élaborant les solutions sécuritaires basées sur la
perception et les règles démocratiques perçues comme telles dans
l’environnement où l’entreprise agit.
 Transparence – Le devoir d’ informer les parties intéressées sur l’ état courant
de la sécurité appartient aux entités directrices.
 Mesure – Les mesures de sécurité ont pour finalité l’ amélioration de la
gouvernance.
 Objectif – La sécurité informationnelle a un large champ d’ intervenants
(processus, ressources, acteurs, culture de l’entreprise…).
 Réponse – Des tests continus liés aux réponses apportées en situation de crises
doivent effectués régulièrement.
 Gestion du risque – Les entités directrices s’assurent que le processus d’
appréciation des risques se fait d’une manière continue et formelle.

143
2. Gestion du risque informationnel
1) définitions
Un risque est la combinaison de la probabilité d’ un évènement et de ses
impacts. Un risque exprime la probabilité qu’un valeur soit perdue en fonction
d’une vulnérabilités liée à une menace :
risquevulnérabilitémenaceimpact
La terminologie liée au risque distingue l’analyse, l’ évaluation, l’ appréciation,
le traitement et la gestion du risque :
- Analyse du risque : Exploitation systématique d’ information pour fixer les
sources afin de pourvoir estimer le risque.
- Evaluation du risque – c’est le processus de comparaison du risque estimé
avec des critères de risque donnés pour identifier l’ importance du risque.
- Appréciation du risque – Processus d’analyse et d’ évaluation du risque.
- Traitement du risque – Processus de sélection et implémentation des mesures
visant à modifier le risque.
- Gestion du risque – activités coordonnées visant à conduire et à piloter une
organisation vis-à-vis des risques.

144
2. Gestion du risque informationnel
2) Principes de gestion
Les éléments d’ une démarche de gestion du risque informationnel sont :
- Identification des actifs en correspondance avec les critères de sécurité.
- Appréciation de vulnérabilités en relation avec les actifs à protéger.
- Appréciation des menaces (identification de l’origine(motivation, capacité à se
réaliser) et amplificateurs des menaces).
- Appréciation du risque (illustration par une matrice des probabilités et des
impacts).
- Identification des contre-mesures (qui tiennent compte de trois types
d’acteurs que sont les processus, la technologie et les utilisateurs).

145
3. Politique de sécurité
1) Stratégie et politique de sécurité

Stratégie d’ entreprise Politique d’ entreprise

Stratégie du système Politique du


d’ information système d’
information

Politique
Stratégie de sécurité de sécurité

146
3. Politique de sécurité
 La politique de sécurité fait la liaison entre la stratégie de sécurité d’ une
entreprise et l’ implémentation opérationnelle de la sécurité.
 La politique de sécurité établit les principes fondamentaux de la sécurité qui
permettent de protéger le système d’information. Cette protection est assurée
par exemple par :
- des règels : classification des l’information;
- des outils : chiffrement, firewalls;
- des contrats: clauses et obligations;
- l’enregistrement, la preuve, l’authentifications, l’identification, le marquage ou
le tatouage;
- Le dépôt de marques , de brevets, et la protection des droit de l’ auteur.
 En complément, la protection pourra prévoir :
- de dissuader par des règles et des contrôles;
- de réagir par l’existence de plans de secours, de continuité et de reprise;
- de gérer les incidents majeurs par un plan de gestion de crise;
- de gérer les performance et les attentes des utilisateurs; etc.
147
3. Politique de sécurité
2) Projet d’ entreprise orienté gestion des risques
prendre en compte l’analyse des risques liés au systèmes d’information dans un
processus de gestion de risque globaux, guide toute la démarche de sécurité
d’une organisation.
Le risque informatique, informationnel ou technologique doit être défini au
même titre que tous les autres risques de l’entreprise (risque métier, social,
environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque
informatique est un risque opérationnel qui doit être maitrisé.
La gestion des risques est le point de départ de l’analyse des besoins sécuritaires
qui permet la définition de la stratégie de sécurité.

148
3. Politique de sécurité
 De l’analyse des risques à la politique de sécurité
origine Risques choisis, calculés, mesurés, acceptés
Cause
Identification
du risque Potentialité Risques pris
Impacts, effets,
conséquences,
gravité Risques profitables, risques de réussir

Risques subis
Analyse – Evaluation – Appréciation
Risques encourus Traitement – Gestion des risques
Risques de perte

Identification des risques


Quantification des risques Politique Sécurité
de sécurité des
Risques acceptables? valeurs

149
3. Politique de sécurité
3) Propriétés d’ une politique de sécurité
Déterminants d’ une politique de sécurité

Valeurs Risques Contraintes

Vision stratégique de la maitrise des risques


Politique de sécurité
Que protéger? Pourquoi? Contre qui? Comment?

Référentiel de Règles de sécurité Mesures de sécurité


sécurité
Structure Droits et devoirs
organisationnelle
Plan de contrôle et de Planification Prioritisation des actions
suivi

150
3. Politique de sécurité
 Différentes composantes d’ une politique de sécurité

151
4. Méthodes et normes de sécurité
1) Principales méthodes française
Pour élaborer une démarche de sécurité, on s’appuie sur une méthode qui
facilite l’identification des points principaux à sécuriser. En général la sécurité
repose sur un ensemble reconnu de bonnes pratiques que sur une méthodologie
unique.
Les méthode recommandées par le CLUSIF (CLUb de la Sécurité de
l'Information Français, www.clusif.asso.fr) sont Marion (Méthode d’Analyse
des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthode
Harmonisée d’Analyse des RIsques).
La méthode Méhari est évolutive et compatible avec la norme ISO 17799.
La DCSSI (Direction Centrale de las Sécurité des Systèmes d’ Information) a
élaboré une méthode largement documenté, présentée et téléchargeable sur son
site: www.ssi.gouv.fr/fr/dcssi. Dénommée Ebios ( Expression des Besoins et
Identification des Objectifs de Sécurité), cette méthode est implémentée par les
administrations françaises, permet de fixer les objectifs de la sécurité des
organisation, pour répondre à des besoins déterminés.

152
4. Méthodes et normes de sécurité
 Les différentes méthodes préconisées par le CLUSIF

Méthode Méthode Marion : Méthode d’analyse des risques informatiques


Marion optimisation par niveau
Méhari : Méthode harmonisées d’ analyse des risques
Propose un cadre et une méthode qui garantissent la cohérence des
décisions prises au niveau directorial
Structure la sécurité de l’entreprise sur une base unique d’ appréciation
dans la complexité des systèmes d’information
Permet la recherche des solutions au niveau opérationnel de la sécurité
en délégant les décisions aux unités opérationnelles et autonomes
Assure, au sein de l’entreprise, l’ équilibre des moyens et la cohérence
Méthode des contrôles
MEHARI Les applications de Méhari:
Plan stratégique de sécurité - Plan(s) opérationnelle(s) de sécurité
Traitement d’une famille de scenario - Traitement d’un risque spécifique
Traitement d’un critère de sécurité – Traitement d’un scenario particulier
Traitement d’ une application opérationnelle – Traitement d’ un projet

153
4. Méthodes et normes de sécurité
2) Norme internationale ISO/IEC 17799
Origine
L’origine de la norme IOS 17799 élaborée par l’ ISO (www.iso.org) à la fin de
l’année 2000 est la norme BS 7799 élaborée par l’association de normalisation
britannique en 1995.
L’adoption par le marché de la norme ISO à été encouragé par le fait que
certaines compagnies d’ assurance demandent l’ application de cette norme afin
de couvrir le cyber-risques.
Son importance réside dans le fait que la norme aborde les aspects
organisationnels, humains, juridiques et technologues de la sécurité en rapport
avec les différentes étapes de conception, mise en œuvre et maintien de la
sécurité.

154
4. Méthodes et normes de sécurité
 Elle aborde de dix domaines de sécurité, de 36 objectifs de sécurité et de 127
points de contrôle.
 Les dix domaines abordés par la norme:
Politique de sécurité - Organisation de la sécurité
Classification et contrôle des actifs - Sécurité et gestion des ressources humaines;
Sécurité physique et environnementale
Exploitation de gestion des systèmes et des réseaux - Contrôle d’ accès;
Développement et maintenance des systèmes - Continuité de service –
conformité
 Une nouvelle version améliorée de la norme (ISO/IEC 17799/2005) a été
proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux
paragraphes qui concernent l’ évaluation et l’ analyses des risques, la gestion
des valeurs et des biens ainsi que la gestion des incidents.

155
4. Méthodes et normes de sécurité
Objectifs de la norme ISO/IEC 17799:2005
La norme ISO/IEC 17799:2005 et ces versions antérieurs aident les
organisation à répondre à quatre principales questions concernant la protection
de leurs actifs informationnels, à savoir :
Que protéger et pourquoi?
De quoi les protéger?
Quels sont les risques?
Comment les protéger?
En répondant à cette question, l’organisation définit sa méthode sécuritaires. La
première étape de celle-ci consiste à réaliser l’ inventaire des valeurs à protéger
en distinguent leur degré de criticité afin d’ effectuer des priorités à la réalisation
des solutions de la sécurité.

156
4. Méthodes et normes de sécurité
Structure, thèmes et chapitres de la norme ISO/IEC 17799:2005
La norme comporte 11 chapitres dont les objectifs sont illustrés dans le figure.

Politique de sécurité

Gestion de la sécurité de l’ information

Gestion des biens


Sécurité liée Sécurité Gestion Contrôle Acquisition Gestion d’
aux ressources physique et opérationnelle et d’ accès développement incident liés
humaines environneme gestion de la , et à la sécurité
ntale communication maintenance d’
des SI information

Gestion de la continuité de l’activité

157
4. Méthodes et normes de sécurité
 La structure et les thèmes évoqués dans la version 2005 de la norme 17799 sont
les suivants:
- Introduction
- Evaluation des risques et traitements
- Politique de sécurité
- Organisation de la sécurité de l’ information
- Gestion des biens et des valeurs
- Sécurité des ressources humaines
- Sécurité physique et environnementale
- Gestion des communication et des opérations
- Contrôle d’ accès
- Acquisition, développement et maintenance des systèmes de l’ information
- Gestion des incidents de sécurité de l’information
- Gestion de la continuité de l’ activité
- Conformité

158
4. Méthodes et normes de sécurité
 Exemple :
Gestion des incidents de sécurité de l’information:
- Notification des évènements et des faiblesse de sécurité de l’information
- Notification des évènements de sécurité de l’ information
- Notification des faiblesse de sécurité
- Gestion des incidents et des améliorations de la sécurité de l’ information
- Responsabilité et procédure
- Enseignement à tirer des incidents de sécurité
- Collecte de preuves

159
4. Méthodes et normes de sécurité
3) norme internationale de la famille ISO/IEC 27000
La famille des normes 27000
La famille des normes ISO/IEC 27001:2005 aborde le thème de management
de la sécurité de l’information dans sa globalité. La norme 27001 s’intitule
“système de gestion de la sécurité de l’information”. D’autres nome de la famille
27000 traitent différents domaines, à savoir:
- Les notions fondamentales et une formalisation du vocabulaire (27000)
- Guide pour l’ implémentation du Système de Mangement de la Sécurité de
l’Information (SMSI)(27003).
- Les métriques du management de la sécurité de l’ information (72004).
- La gestion du risque en matière de sécurité de l’ information (27005).
- Les exigences pour les organismes auditant et certifiant un SMSI(27006)
- Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI
(27007);
- Directives pour les auditeurs concernant les contrôles à effectuer pour un
SMSI(27008)

160
4. Méthodes et normes de sécurité
Introduction à la norme ISO 27001
La norme 27001 dérive de la norme nationale anglaise BS 7799-2 : 2002 qui a
pour but les contrôles à mettre en place pour satisfaire les objectifs de la première
partie BS 7799-1.
La norme 27001 établit un modèle pour établir, implémenter, exploiter,
surveiller, maintenir et améliorer le système de management de la sécurité de
l’information SMSI (Système de Mangement de la Sécurité de l’Information).
La norme s’ appuie sur un modèle PDCA (plan, do, check, act). Comprendre da
sécurité sous la forme PDCA contribue à:
- Comprendre les exigences de sécurité et besoins de la politique de sécurité;
- Implémenter et effectuer des contrôles pour gérer le risque informationnel;
- Surveiller et revoir la performance de SMSI
- Proposer des améliorations basées sur des mesures de l’ efficacité du SMSI.

161
4. Méthodes et normes de sécurité
 Le modèle PDCA

PLAN
Parties Parties
intéressées intéressées
Etablir
SMSI

Implémenter et Maintien et
DO amélioration ACT
exploiter SMSI
du SMSI

Surveiller
Exigences et SMSI
expectatives de La sécurité de
la sécurité de l’ CHECK l’ information
information gérée

162
4. Méthodes et normes de sécurité
 Etablir un modèle de gestion de sécurité satisfaisant les exigences de la norme
implique trois étapes:
- Création d’un cadre managérial afin de spécifier les directives, les intentions
et les objectifs pour la sécurité de l’information et définir les politique
stratégique qui engage la responsabilité du management.
- Identification et évaluation des risques réalisés sur la base des exigences de
sécurité définies par l’ entreprise pour identifier les actions managériales
appropriées à entreprendre et les priorités pour maîtriser le risque.
- Développement du SMSI, choix et implémentation des contrôles à
implémenter. Une fois que les exigences ont été déterminées, les contrôles
appropriés peuvent être sélectionnées afin de s’assurer que les risques que le
système d’ information fait encourir à l’ organisation sont réduit à un niveau
acceptable conforment aux objectifs de la sécurité de l’ entreprise.

163
4. Méthodes et normes de sécurité
4) Méthodes et bonnes pratiques
Avantage et inconvénients de l’utilisation d’une méthode pour définir une
politique de sécurité
Avantages Inconvénients
Gain en terme d’ efficacité en réutilisant le Bien qu’ elles peuvent faire l’ objet de
savoir-faire transmis par la méthode. révision (nouvelles versions), les normes
Capitalisation des expériences. ou méthode se n’ évoluent pas au même
rythme que les besoins ou les
technologies.
Langage commun, référentiel d’ actions Une norme ou une méthode est générale.
structuration de la démarche, approche Il faut s’avoir la spécifier en fonction de
exhaustive. besoins particuliers de l’ organisation.
Prolifération des méthodes : difficulté de
choix.
Etre associé à des groupes d’ intérêts. Partage Disposer des compétences nécessaires.
d’ expériences, de documentation, formation Efforts financiers, durée, coûts,
possibles. Difficultés à maitriser la démarche qui
peut s’ avérer lourde et nécessité des
compétences externes.
Recourt à des consultants spécialisés.

164
4. Méthodes et normes de sécurité
5) Modèle formel de politique de sécurité
Différents modèles proposent une présentation abstraite des principes de
sécurité à prendre en compte:
- Le modèle de Bell-LaPadula : modèle des exigences de contrôle d’ accès
spécifiant une politique de sécurité pour la confidentialité;
- Le modèle de Clark et Wilson lié à l’ intégrité des systèmes transactionnels
commerciaux
Les principales définitions correspondant à ces modèles sont:
- Objet O : Entité passive qui reçoit ou possède des informations ou encore l’
Objet de stockage, qui inclut les accès en lecture et en écriture.
- Sujet S : Entité active (une personne, un processus ou un équipement) liée à un
profil.
- Opération licite T : L’ opération licite T est permise pour le sujet S sur l’ Objet
O;
- Canal caché : exploitation d’ un mécanisme non prévu pour la communication
pour transférer des informations d’ une manière qui viole la sécurité.

165
 Exercice 26 : Quels sont les avantages relatifs à la définition d’ une politique de
sécurité pour une organisation?
 Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en
place d’ une politique de sécurité pour le système d’ information d’ une
entreprise?
 Exercice 28 : Comment s’exprime la rentabilité d’ une politique de sécurité?
 Exercice 29 : Identifier les principales étapes d’ une démarche sécurité?
 Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients
potentiels liés à l’ externalisation de la sécurité informatique (outsourcing) par
rapport à une gestion interne de la sécurité?
 Exercice 31 : Quelles sont les principales limites de la norme ISO 17799 pour
la réalisation de la sécurité?

166

Vous aimerez peut-être aussi