Académique Documents
Professionnel Documents
Culture Documents
Systèmes
d’Information
Concepts et Technologies
Cas Pratiques
Copyright
La Sécurité Des
Systèmes
d’Information
Introduction
Définition
Sécurité des SI=
Copyright
La Sécurité des SI
Critères d’évaluation:
Disponibilité
Intégrité
Confidentialité
Traçabilité
Copyright
Introduction
Les risques
Les objectifs
Définition
Copyright
Les Risques
Mesurés par la combinaison d’une menace et
des pertes qu’elles pourraient engendrées
Plusieurs éléments:
Méthode d’attaque
Éléments menaçants
Vulnérabilités des entités
Copyright
Les Risques
Attaque passive
Attaque active
Usurpation
Répudiation
Intrusion
Copyright
Les Objectifs
Protéger les données stockées ou en transit sur le
réseau contre :
modification (destruction) non autorisée
utilisation frauduleuse
divulgation non autorisée
Copyright
Sécurité des Systèmes
d’Information
Concepts et Technologies
Cryptographie
Ensemble des techniques permettant de crypter
/ décrypter des messages
Emetteur Destinataire
Avantages :
facile à implémenter
rapide
Copyright
Cryptographie: Clé
Asymétrique
Chaque communicant possède une paire de
clés associées : clé publique Kpb et clé privée
Kpv
Copyright
Cryptographie
La clé privée doit être conservée par son
propriétaire
Rien n’impose de la dévoiler à qui que ce soit
Copyright
Cryptographie : Avantages
Message chiffré avec la clé privée
Copyright
Cryptographie : Inconvénients
Algorithmes complexes et difficiles à
implémenter
Copyright
Cryptographie: le Hashage
Copyright
PKI (Public Key Infrastructure)
Ensemble des solutions techniques basées sur
la cryptographie à clé publique
Copyright
PKI
Confiance directe
Modèle simple de confiance, l’utilisateur a
confiance dans la validité de la clé car il sait
d’où elle vient.
Copyright
Solutions et Dispositifs de Sécurisation :
Sécurité Architecturale
Copyright
Solutions et Dispositifs de
Sécurisation : Sécurité Architecturale
Copyright
Solutions et dispositifs de sécurisation :
Sécurité off-line
Principaux standards :
Copyright
Solutions et dispositifs de
sécurisation : Sécurité off-line
PGP (Pretty Good Privacy)
• système de cryptographie hybride (clés symétriques
et asymétriques)
• les données sont compressées puis chiffrées pour
économiser l’espace disque.
• chaque utilisateur est sa propre autorité de
certification
XML Encryption
Copyright
Solutions et dispositifs de sécurisation :
Sécurité off-line
Protections assurées
attaque passive
attaque active
usurpation (émetteur)
répudiation (émetteur)
protection de bout en bout
Copyright
Solutions et dispositifs de sécurisation :
Sécurité de transport
Principaux protocoles :
SSL/TLS (Secured Socket Layer/ Transport Layer Securi
SSH (Secured SHell)
Protections assurées
attaque passive
attaque active
usurpation
Intrusion
Protections non assurées
répudiation
protection de bout en bout
Copyright
La Sécurité des
Systèmes
d’Information
Politique de Sécurité des Systèmes
d’Information (PSSI)
Définition
Ensemble formalisé dans un document applicable, des
Copyright
Principales étapes
Audit
Surveillance
Actions
Copyright
Audit
Identifier / Classer les risques et leurs
menaces:
Quels sont les risques ?
Quelle en est la probabilité ?
Quels sont leurs impacts ?
Copyright
Les risques
Répertoriés les risques encourus
Copyright
Surveillance
Etre réactifs …
Copyright
Les Cibles des Failles de la
Sécurité
R&D
Services financiers
Marketing
Réseaux de vente (! Distributeurs et clients trop bavards)
Le service achat
Le Personnel: sensibiliser l’ensemble
du personnel, attention aux licenciés,
mécontents …
Copyright
Actions
Copyright
Actions
Copyright
Acteurs & Rôles
CHARTES
Responsable SSI
Quoi
REGLES GENERALES
Copyright
Thèmes
Classification et contrôle du patrimoine matériel et immatériel
Obligations légales
Copyright
Réussite PSSI
Etre simple et réaliste pour que tout le monde la
comprenne et puisse la respecter
Faire vivre
Copyright
Stratégie
PSSI doit faire partie intégrante de la stratégie de la
société :
défaut de sécurité coûte cher !
Copyright
Normes et Méthodes
Normes = bonnes pratiques
Copyright
Normes
ISO 27 001:
Approche processus (PDCA)
133 mesures base dans l’élaboration
du plan
Copyright
Méthodes
Démarche structurée
Copyright
Méthodes
Cobit: Control Objectives for Business and
related Techonology
Marion
Copyright
Ebios
Etude du contexte: éléments essentiels (ensemble
d’entités de différents types)
Planifier Faire
(Ré)Agir Vérifier
Copyright
ISMS (Information Security Management
System)
Copyright
Cadre juridique
Loi Sarbannes-Oxley
Copyright