Académique Documents
Professionnel Documents
Culture Documents
SECURITÉ
INFORMATIQUE
Le système d’information
dans l'absolu.
• la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche)
représente le niveau d'exposition face à la menace dans un contexte particulier.
• Les menaces engendrent des risques et des coûts humains et financiers : pertede confidentialité de
données sensibles, indisponibilité des infrastructures et desdonnées, dommages pour le
patrimoine intellectuel et la notoriété. Les risquespeuvent se réaliser si les systèmes menacés
présentent des vulnérabilités.
Contre-mésures
• Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions
techniques mais également des mesures de formation et de sensibilisation à
l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies.
La non-répudiation: Ici une liaison avec une partie du droit et de la justice
est présente, cela consiste à interdire ou empêcher à une entité ou une
personne d’avoir la possibilité de nier sa participation ou son intégration au
sein d’une action.
L’authentification: consiste à assurer l'identité d'un utilisateur, c'est-
à-dire de garantir à chacun des correspondants que son partenaire est
bien celui qu'il croit être. Un contrôle d'accès peut permettre (par
exemple par le moyen d'un mot de passe qui devra être crypté)
l'accès à des ressources uniquement aux personnes autorisées.
Approche globale de la securité
Approche globale de la sécurité
La sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects
suivants :
• La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de
l'entreprise, les applications ou encore les systèmes d'exploitation.
• La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées,
lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.
Les causes de l’insecurité
C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une
politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :
Mise en place d’une politique de securité
• Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs
éventuelles conséquences ;
• Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de l'organisation pour
les risques identifiés ;
• Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les
applications et matériels utilisés ;
• Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;
• La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens
large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation
concernée, car elle concerne tous les utilisateurs du système.
Définir risques et objets à protéger
Fixer un périmètre de sécurité et élaborer une politique de sécurité:
L’entreprise doit pouvoir distinguer ce qui lui appartient, que ce soit matériel ou immatériel, de
ce quine lui appartient pas. Il est également important de définir contre qui et quoi l’entreprise
doit se prémunir. En effet les mesures à appliquer pour se prémunir d’un même risque, par
exemple de fuite d’informations, ne seront pas les mêmes si l’attaquant est un pirate peu
expérimenté ou une agence de renseignement
Identifier et authentifier
Ressources publiques, ressources privées:
Les personnes qui accèdent à une ressource non publique doivent être
identifiées ; leur identité doit être authentifiée; leurs droits d’accès doivent être
vérifiés au regard des habilitations qui leur ont été attribuées. À ces trois actions
correspond un premier domaine des techniques de sécurité : les méthodes
d’authentification, de signature, de vérification de l’intégrité des données et
d’attribution de droits.
Empêcher les intrusions
Les deux méthodes de sécurité ne suffisent pas, il faut en outre se prémunir contre les intrusions
destinées à détruire ou corrompre les données, ou à en rendre l’accès impossible. Les techniques
classiques contre ce risque sont l’usage de pare-feu (firewalls)et le filtrage des communications
réseau, qui permettent de protéger la partie privée d’un réseau dont les stations pourront
communiquer avec l’Internet sans en être « visibles » ; le terme visible est ici une métaphore qui
exprime que nul système connecté à l’Internet ne peut accéder aux machines du réseau local de
sa propre initiative (seules ces dernières peuvent établir un dialogue) et que le filtre interdit
certains types de dialogues ou de services, ou certains correspondants (reconnus dangereux).
Défense en profondeur et réaction aux
incidents
Cela consiste à envisager que l’ennemi puisse franchir une ligne de défense sans pour cela qu’il devienne
impossible de l’arrêter ; cette conception s’impose dès lors que les moyens de frappe à distance et de
déplacement rapide, ainsi que le combat dans les trois dimensions, amènent à relativiser la notion de
ligne de front et à concevoir l’affrontement armé sur un territoire étendu. Plus modestement, la
multiplication des vulnérabilités, la généralisation des ordinateurs portables qui se déplacent hors du
réseau de l’entreprise, la transformation des téléphones en ordinateurs complets, de nouveaux usages
(code mobile, pair à pair peer to peer), sites interactifs, téléphonie et visioconférence sur IP, informatique
en nuage) et d’autres innovations ont anéanti la notion de « périmètre de sécurité »de l’entreprise, et
obligent le responsable SSI à considérer que la menace est partout et peut se manifester n’importe où.
Aspects organisationels de la sécurité
informatique
Aspects organisationnels de la securité
informatique
À côté des mesures techniques destinées à assurer la protection des
systèmes et des réseaux, la sécurité du SI comporte un volet humain et
social au moins aussi important : la sécurité dépend en dernière
analyse des comportements humains et si ces derniers sont inadaptés
toutes les mesures techniques seront parfaitement vaines parce que
contournées
Abandonner les utilisateurs inexpérimentés aux requins ?
La virtualisation
Sauvegarder données et documents
La sauvegarde régulière des données et de la documentation qui
permet de les utiliser est bien sûr un élément indispensable de la
sécurité du système d’information
Vérifier les dispositifs de sécurité
Le dispositif de sécurité le mieux conçu ne remplit son rôle que s’il est
opérationnel, et surtout si ceux qui doivent le mettre en œuvre, en cas
de sinistre par exemple, sont eux aussi opérationnels. Il convient donc
de vérifier régulièrement les capacités des dispositifs matériels et
organisationnels.
personnes pour leurs compétences et exercent leur métier dans de l’espionnage industrielle généralement.
• Les pirates informatiques spécialisés dans l’espionnage, sous la gouverne d’un état ou d’une entité militaire
son but est donc de servir les intérêts de ces derniers dans la lutte informatique.
• Les pirates informatiques « avides d’argent », typiquement le genre de personnes à faire cela pour s’enrichir
personnellement.
• Ces pirates informatiques ou hackers sont aussi classés par rapport à leurs impacts sur les infrastructures visées,
pour rappel un hacker est donc un expert ou un spécialiste de la sécurité informatique maitrisant les moyens de
• Les pirates informatiques curieux, exerce cet activité par amusement, curiosité du domaine mais sans
volonté de nuire.
• Les pirates informatiques « rebelles », vise principalement des sites du gouvernement ou ses institutions
• Les pirates informatiques « pour la renommée », leur but est d’être connu et reconnu dans le milieu, ils
ciblent des installations réputées inviolables ou très protégées, un cas connu est le pentagone qui a lancé «
un défi » aux hackers dans le but de pénétrer ses propres installations, par la suite des contrats d'ambauche
• Les « chapeaux noirs » ou « Black hat » : créateurs de virus, cyber-espions, cyber-terroristes et cyber-escrocs,
hors-la-loi dans le but soit de nuire soit de tirer profit de leurs actes illégaux. Les plus nuisibles sont alors appelés
crashers.
• Les « chapeaux gris » ou « Grey hat » : s'ils n'hésitent pas à pénétrer dans les systèmes sans y être autorisés, ils
n'ont pas pour but premier la nuisance mais l'« exploit informatique ».
• Les « script kiddies » : terme péjoratif, généralement sans grande compétence, piratent en utilisant des