La Sécurité Des

Systèmes
d’Information

BOUKRI KHALIL YNOV Casablanca

Plan
 Introduction

 Concepts et Technologies

 Politique de Sécurité des Systèmes

d’Information

 Cas Pratiques
Copyright
La Sécurité Des
Systèmes
d’Information
Introduction
Définition
 Sécurité des SI=

 Protéger les biens et informations les plus

précieuses pour l’entreprise

Copyright
La Sécurité des SI
 Critères d’évaluation:

 Disponibilité

 Intégrité

 Confidentialité

 Traçabilité
Copyright
Introduction
 Les risques

 Les objectifs

 Définition

Copyright
Les Risques
 Mesurés par la combinaison d’une menace et
des pertes qu’elles pourraient engendrées

 Plusieurs éléments:
 Méthode d’attaque
 Éléments menaçants
 Vulnérabilités des entités

Copyright
Les Risques
 Attaque passive

 Attaque active

 Usurpation

 Répudiation

 Intrusion

Copyright
Les Objectifs
 Protéger les données stockées ou en transit sur le
réseau contre :
 modification (destruction) non autorisée
 utilisation frauduleuse
 divulgation non autorisée

 Sécuriser l’accès aux systèmes, services et données

par :
 vérification de l’identité déclinée par le requérant
 gestion des droits d’accès et des autorisations

Copyright
Sécurité des Systèmes
d’Information

Concepts et Technologies
 Cryptographie
 Ensemble des techniques permettant de crypter
/ décrypter des messages

 Crypter : brouiller l’information,

la rendre “incompréhensible”

 Décrypter : rendre le message compréhensible

Emetteur Destinataire

Message #¨^%!! §§ $ Message

clair ££-@ clair
encryption décryption
Copyright
Cryptographie: Clé
Symétrique
 Même clé pour chiffrer et déchiffrer

 Avantages :
 facile à implémenter
 rapide

Copyright
Cryptographie: Clé
Asymétrique
 Chaque communicant possède une paire de
clés associées : clé publique Kpb et clé privée
Kpv

 Un message chiffré par l’une des clés

 ne peut pas être déchiffré par cette même
clé
 mais peut être déchiffré par l’autre clé de la
paire

Copyright
Cryptographie
 La clé privée doit être conservée par son
propriétaire
 Rien n’impose de la dévoiler à qui que ce soit

 La clé publique est diffusée sans restriction

 idéalement avec un niveau de diffusion
comparable à l’annuaire téléphonique

 Aucun moyen pratique de déduire l’une des clés

de la connaissance de l’autre clé
Copyright
Cryptographie : Avantages
 Message chiffré avec la clé publique

• seul le propriétaire de la clé privée

correspondante peut en prendre
connaissance : confidentialité
• le receveur n’a aucune idée de
l’expéditeur puisque la clé publique
est accessible à tous

Copyright
Cryptographie : Avantages
 Message chiffré avec la clé privée

• altération frauduleuse impossible car

nécessite la connaissance de la clé
privée : intégrité
• pas de confidentialité : la clé publique
peut être utilisée par tous pour lire
• la clé privée dévoile l’identité de
l’expéditeur
• propriétaire de la clé privée

Copyright
Cryptographie : Inconvénients
 Algorithmes complexes et difficiles à
implémenter

 Peu performant : long et gourmand en CPU

 1000 plus lents que les algorithmes à
clés symétriques

 Moins sûrs contre les attaques de « force

brute »
• nécessite des clés plus longues que les
algorithmes symétriques

Copyright
Cryptographie: le Hashage

 Calcule un « condensé significatif » de taille fixe,

quelque soit la taille d’origine
 irréversible : transformation inverse
impossible
 déterministe : le même message produit le
même résumé
effets imprévisibles

L’intégrité du résumé significatif est une

garantie de l’intégrité du document d’origine
c’est une « empreinte digitale » du document
Copyright
Signature Electronique
 Propriétés :
 Ne peut être créée indépendamment
 Sa validité peut être vérifiée par tous
• la clé publique est accessible librement
• les algorithmes utilisés sont connus
 Elle révèle toute altération, frauduleuse ou
accidentelle
 Falsification en principe impossible
• non-répudiation

Copyright
PKI (Public Key Infrastructure)
 Ensemble des solutions techniques basées sur
la cryptographie à clé publique

 Canal sécurisé inutile  tiers de confiance CA

 Signe clé publique
 Assure véracité des informations

Copyright
PKI
 Confiance directe
 Modèle simple de confiance, l’utilisateur a
confiance dans la validité de la clé car il sait
d’où elle vient.

 Confiance hiérarchique ou “arbre” de confiance

 Le certificat est vérifié jusqu’à ce que le
certificat de type root soit trouvé.

 Confiance décentralisée ou en réseau

 Cumule des deux modèles.

Copyright
 Solutions et Dispositifs de Sécurisation :
Sécurité Architecturale

 Complète les techniques de cryptographie par :

 Les contrôles d’accès réseau (machines, serveurs)

• sur les paramètres utilisés pour l’établissement des
communications : adresses et ports, sens de la
connexion
• FIREWALL

Copyright
 Solutions et Dispositifs de
Sécurisation : Sécurité Architecturale

 Des contrôles plus fins (et plus lourds) au niveau

du flot de données émis ou reçu par une
application
• serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
• SAS applicatifs spécialisés pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)

Copyright
 Solutions et dispositifs de sécurisation :
Sécurité off-line

 Principaux standards :

 S/MIME (Secured Multipurpose Internet Mail

Extensions)
• chiffrement et signature digitale (authentification et
confidentialité) des messages électroniques et
documents attachés au format MIME
• extension du standard d’interopérabilité MIME

Copyright
Solutions et dispositifs de
sécurisation : Sécurité off-line
 PGP (Pretty Good Privacy)
• système de cryptographie hybride (clés symétriques
et asymétriques)
• les données sont compressées puis chiffrées pour
économiser l’espace disque.
• chaque utilisateur est sa propre autorité de
certification

 XML (eXtensible Markup Language) Signature

 XML Encryption

 SecurBdF (Banque de France)

Copyright
Solutions et dispositifs de sécurisation :
Sécurité off-line
 Protections assurées
 attaque passive
 attaque active
 usurpation (émetteur)
 répudiation (émetteur)
 protection de bout en bout

 Protections non assurées

 usurpation (récepteur)
 intrusion
 répudiation (récepteur)

Copyright
 Solutions et dispositifs de sécurisation :
Sécurité de transport
 Principaux protocoles :
 SSL/TLS (Secured Socket Layer/ Transport Layer Securi
 SSH (Secured SHell)
 Protections assurées
 attaque passive
 attaque active
 usurpation
 Intrusion
 Protections non assurées
 répudiation
 protection de bout en bout

Copyright
La Sécurité des
Systèmes
d’Information
Politique de Sécurité des Systèmes
d’Information (PSSI)
Définition
Ensemble formalisé dans un document applicable, des

directives, procédures, codes de conduite, règles

organisationnelles et techniques, ayant pour objectif la

protection des systèmes d’information de l’organisme.

Copyright
Principales étapes
 Audit

 Elaboration des règles

 Surveillance

 Actions

Copyright
Audit
 Identifier / Classer les risques et leurs
menaces:
 Quels sont les risques ?
 Quelle en est la probabilité ?
 Quels sont leurs impacts ?

 Identifier les besoins :

 État des lieux du SI

Copyright
Les risques
 Répertoriés les risques encourus

 Estimer leur probabilité:

 Faible: menace peu de chance de se
produire
 Moyenne: la menace est réelle
 Haute: la menace a de très grande chance
de se produire

 Etudier leur impact (coût des dommages)

Copyright
Elaboration de règles

 Règles et procédures pour répondre aux

risques

 Allouer les moyens nécessaires

Copyright
Surveillance

 Détecter les vulnérabilités du SI

 Se tenir informé des failles

 Etre réactifs …

Copyright
Les Cibles des Failles de la
Sécurité
 R&D
 Services financiers
 Marketing
 Réseaux de vente (! Distributeurs et clients trop bavards)
 Le service achat
 Le Personnel: sensibiliser l’ensemble
du personnel, attention aux licenciés,
mécontents …

Copyright
Actions

 Définir les actions à entreprendre

 Et les personnes à contacter en cas de

menace

Copyright
Actions

 Simples à mettre en œuvre et pourtant

pas toujours existantes !

 Entrées et sorties contrôlées

 Surveiller et piéger les BD dans
entreprise
 Méfiance au téléphone …

Copyright
 Acteurs & Rôles

Pourquoi ? Direction Générale

CHARTES

Responsable SSI
Quoi
REGLES GENERALES

Qui ? Quand ? Responsable Fonctionnel

PROCESSUS & CONTROLES

Comment ? Responsable Projet

PROCEDURES OPTIONNELLES

Copyright
Thèmes
 Classification et contrôle du patrimoine matériel et immatériel

 Rôle des personnes

 Protection des locaux et équipements

 Contrôle des accès et gestion des habilitations

 Gestion des communications et des opérations

 Développement et maintenance des systèmes d’information

 Continuité des activités

 Obligations légales

Copyright
Réussite PSSI
 Etre simple et réaliste pour que tout le monde la
comprenne et puisse la respecter

 Faire vivre

Copyright
Stratégie
 PSSI doit faire partie intégrante de la stratégie de la
société :
 défaut de sécurité coûte cher !

 Inclure une notion générale de la sécurité reposant sur

4 points:
 Protection des applicatifs aux métiers du SI
qualifiés de sensible
 Diminution des vulnérabilités
 Sécurité proprement dite du SI
 Continuité en cas de sinistre

Copyright
Normes et Méthodes
 Normes = bonnes pratiques

 Méthodes = évaluation globale du SI en terme

de:
 Risques
 Protection

Copyright
Normes

 ISO 27 001:
 Approche processus (PDCA)
 133 mesures base dans l’élaboration
du plan

 ISO 17 799: découpage par thèmes

Copyright
Méthodes
 Démarche structurée

 Obtenir une partie des éléments stratégiques

Copyright
Méthodes
 Cobit: Control Objectives for Business and
related Techonology

 Ebios: Expression des besoins et identification

et des objectifs de sécurité

 Marion

 Mehari: Méthode harmonisée d’analyse des

risques

Copyright
Ebios
 Etude du contexte: éléments essentiels (ensemble
d’entités de différents types)

 Expression des besoins: critères de sécurité 

impact

 Etude des menaces: type/cause

 Expression des objectifs de sécurité

 Détermination des exigences de sécurité

Copyright
ISMS (Information Security Management
System)

 Application au domaine de la sécurité

informatique de la roue de Deming

Planifier Faire

(Ré)Agir Vérifier

Copyright
ISMS (Information Security Management
System)

 Planifier: passer d’une posture réactive à

proactive

 Faire: développer des processus en suivant un

référentiel de sécurité

 Contrôler: audits et tests d’intrusion

 Agir: analyse des risques des besoins et enjeux

Copyright
Cadre juridique

 Loi Sarbannes-Oxley

 Loi des libertés personnelles

Copyright