INTRODUCTION À LA

SECURITÉ
INFORMATIQUE
Le système d’information

• Un système d’information, qui est d’après le RFC, un ensemble

organisé de ressources de traitement, de communication et de
procédures, c'est-à-dire les infrastructures, les installations et le
personnel, qui créent, collectent, enregistrent, traitent, stockent,
transportent, extraient, affichent, diffusent, contrôlent ou éliment des
informations pour accomplir un ensemble de tâches données.
Le système d’information

La sécurité des systèmes d’information (SSI) est une discipline de

première importance car le système d’information (SI) est pour toute
entreprise un élément absolument vital.
Les premières notions de sécurité
 Menaces, Risques et Vulnerabilités
• Le risque en terme de sécurité est généralement caractérisé par l'équation suivante

• La menace (en anglais « threat ») représente le type d'action susceptible de nuire

dans l'absolu.
• la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche)
représente le niveau d'exposition face à la menace dans un contexte particulier.

• la contre-mesure est l'ensemble des actions mises en œuvre en prévention de la

menace.
 Ménaces
• Les menaces contre le système d’information entrent dans l’une des catégories suivantes : atteinte
à la disponibilité des systèmes et des données, destruction de données, corruption ou falsification
de données, vol ou espionnage de données, usage illicite ou sabotage d’un système ou d’un réseau,
usage d’un système compromis pour attaquer d’autres cibles. La falsification de sites web à fin de
détournement de fonds est aujourd’hui la forme d’attaque qui connaît l’expansion la plus rapide.

• Les menaces engendrent des risques et des coûts humains et financiers : pertede confidentialité de
données sensibles, indisponibilité des infrastructures et desdonnées, dommages pour le
patrimoine intellectuel et la notoriété. Les risquespeuvent se réaliser si les systèmes menacés
présentent des vulnérabilités.
 Contre-mésures
• Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions
techniques mais également des mesures de formation et de sensibilisation à
l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies.

• Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces

potentielles, et donc de connaître et de prévoir la façon de procéder de
l'ennemi.
Principe et notions important de la securité
 Objectifs de la securité informatique

La sécurité informatique, d'une manière générale, consiste à assurer

que les ressources matérielles ou logicielles d'une organisation sont
uniquement utilisées dans le cadre prévu.
 Objectifs de la securité informatique

La sécurité informatique, d'une manière générale, consiste à assurer

que les ressources matérielles ou logicielles d'une organisation sont
uniquement utilisées dans le cadre prévu.
 Principes de base de la sécurité informatique

La sécurité informatique est définie par 7 grands principes à protéger,

ce sont:

la protection de la confidentialité, la protection de l’intégrité et de la

disponibilité de l’information, mais aussi l’authenticité, la fiabilité,
l’imputabilité et la non-répudiation de cette information.
 Notions importantes de la securité informatique
1. L'intégrité, c'est-à-dire garantir que les données sont bien celles que
l'on croit être ;
2. La confidentialité, consistant à assurer que seules les personnes
autorisées aient accès aux ressources échangées ;
3. La disponibilité, permettant de maintenir le bon fonctionnement du
système d'information ;
4. La non répudiation, permettant de garantir qu'une transaction ne
peut être niée ;
5. L'authentification, consistant à assurer que seules les personnes
autorisées aient accès aux ressources.
La confidentialité: consiste à rendre l'information inintelligible à d'autres personnes
que les seuls acteurs de la transaction. En d’autres termes, elle sert à garantir que
l’accès à l’information et aux données n’est autorisé que pour les entités ou
personnes autorisées à les consulter.

L’intégrité: Vérifier l'intégrité des données consiste à déterminer si les données

n'ont pas été altérées durant la communication (de manière fortuite ou
intentionnelle). Elle sert à garantir que les données ou informations stockées ne
soient pas modifiées par un tiers, c'est-à-dire quelles conservent leur pertinence et
empêchant une altération de celle-ci.
La disponibilité: dont l'objectif est de garantir l'accès à un service ou à des
ressources. Il sert à garantir si le service ou les ressources sont disponibles à
tout moment ou à minima accessible quand une personne souhaitera
l’utiliser.

La non-répudiation: Ici une liaison avec une partie du droit et de la justice
est présente, cela consiste à interdire ou empêcher à une entité ou une
personne d’avoir la possibilité de nier sa participation ou son intégration au
sein d’une action.
L’authentification: consiste à assurer l'identité d'un utilisateur, c'est-
à-dire de garantir à chacun des correspondants que son partenaire est
bien celui qu'il croit être. Un contrôle d'accès peut permettre (par
exemple par le moyen d'un mot de passe qui devra être crypté)
l'accès à des ressources uniquement aux personnes autorisées.
Approche globale de la securité
 Approche globale de la sécurité
La sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects
suivants :

• La sensibilisation des utilisateurs aux problèmes de sécurité

• La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de
l'entreprise, les applications ou encore les systèmes d'exploitation.

• La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux

d'accès, etc.

• La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées,
lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.
Les causes de l’insecurité

On distingue généralement deux types d'insécurités :

• l'état actif d'insécurité, c'est-à-dire la non connaissance par l'utilisateur des

fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple
le fait de ne pas désactiver des services réseaux non nécessaires à l'utilisateur)

• l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de sécurité

mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un système
ne connaît pas les dispositifs de sécurité dont il dispose.
Mise en place d’une politique de securité
 Aspect techniques de la sécurité informatique
Les problèmes techniques actuels de sécurité informatique peuvent, au moins
provisoirement, être classés en deux grandes catégories :

• ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur, poste de

travail, smartphone ou tablette, de son système d’exploitation et des données qu’il
abrite,

• ceux qui découlent directement ou indirectement de l’essor des réseaux et du Web,

qui multiplie la quantité et la gravité des menaces.
 Mise en place d’une politique de securité
Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au
niveau des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au
fur et à mesure que le réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de
telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont
nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute
confiance.

C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une
politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :
 Mise en place d’une politique de securité
• Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs
éventuelles conséquences ;

• Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de l'organisation pour
les risques identifiés ;

• Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les
applications et matériels utilisés ;

• Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;

• La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens
large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation
concernée, car elle concerne tous les utilisateurs du système.
 Définir risques et objets à protéger
Fixer un périmètre de sécurité et élaborer une politique de sécurité:

Le périmètre de sécurité, au sein de l’univers physique, délimite l’intérieur et l’extérieur, mais

sa définition doit aussi englober (ou pas) les entités immatérielles qui peuplent les ordinateurs
et les réseaux :essentiellement les logiciels et en particulier les systèmes d’exploitation.

L’entreprise doit pouvoir distinguer ce qui lui appartient, que ce soit matériel ou immatériel, de
ce quine lui appartient pas. Il est également important de définir contre qui et quoi l’entreprise
doit se prémunir. En effet les mesures à appliquer pour se prémunir d’un même risque, par
exemple de fuite d’informations, ne seront pas les mêmes si l’attaquant est un pirate peu
expérimenté ou une agence de renseignement
 Identifier et authentifier
Ressources publiques, ressources privées:

Les personnes qui accèdent à une ressource non publique doivent être
identifiées ; leur identité doit être authentifiée; leurs droits d’accès doivent être
vérifiés au regard des habilitations qui leur ont été attribuées. À ces trois actions
correspond un premier domaine des techniques de sécurité : les méthodes
d’authentification, de signature, de vérification de l’intégrité des données et
d’attribution de droits.
 Empêcher les intrusions
Les deux méthodes de sécurité ne suffisent pas, il faut en outre se prémunir contre les intrusions
destinées à détruire ou corrompre les données, ou à en rendre l’accès impossible. Les techniques
classiques contre ce risque sont l’usage de pare-feu (firewalls)et le filtrage des communications
réseau, qui permettent de protéger la partie privée d’un réseau dont les stations pourront
communiquer avec l’Internet sans en être « visibles » ; le terme visible est ici une métaphore qui
exprime que nul système connecté à l’Internet ne peut accéder aux machines du réseau local de
sa propre initiative (seules ces dernières peuvent établir un dialogue) et que le filtre interdit
certains types de dialogues ou de services, ou certains correspondants (reconnus dangereux).
 Défense en profondeur et réaction aux
incidents
Cela consiste à envisager que l’ennemi puisse franchir une ligne de défense sans pour cela qu’il devienne
impossible de l’arrêter ; cette conception s’impose dès lors que les moyens de frappe à distance et de
déplacement rapide, ainsi que le combat dans les trois dimensions, amènent à relativiser la notion de
ligne de front et à concevoir l’affrontement armé sur un territoire étendu. Plus modestement, la
multiplication des vulnérabilités, la généralisation des ordinateurs portables qui se déplacent hors du
réseau de l’entreprise, la transformation des téléphones en ordinateurs complets, de nouveaux usages
(code mobile, pair à pair peer to peer), sites interactifs, téléphonie et visioconférence sur IP, informatique
en nuage) et d’autres innovations ont anéanti la notion de « périmètre de sécurité »de l’entreprise, et
obligent le responsable SSI à considérer que la menace est partout et peut se manifester n’importe où.
Aspects organisationels de la sécurité
informatique
 Aspects organisationnels de la securité
informatique
À côté des mesures techniques destinées à assurer la protection des
systèmes et des réseaux, la sécurité du SI comporte un volet humain et
social au moins aussi important : la sécurité dépend en dernière
analyse des comportements humains et si ces derniers sont inadaptés
toutes les mesures techniques seront parfaitement vaines parce que
contournées
 Abandonner les utilisateurs inexpérimentés aux requins ?

Il convient néanmoins de considérer que les questions de SSI sont fort

complexes et évoluent vite, si bien que même les utilisateurs avertis peuvent
être pris de court par des menaces dont ils n’étaient pas informés.
L’expérience nous apprend une chose : toute tentative d’hameçonnage
(phishing, envoi d’un message fallacieux qui incite son lecteur à cliquer sur un
lien qui mène vers un site toxique) réussira un jour, même avec un utilisateur
formé,
 Externalisation radicale et accès web:
Les avantages d’une telle solution semblent considérables : l’entreprise n’a
plus besoin de se soucier de la sécurité sur le poste de travail des
correspondants ou des employés ainsi « externalisés », pas plus que la
banque ne s’occupe de l’ordinateur de son client. C’est leur problème. Il y a
bien sûr un revers de la médaille : l’entreprise, qui n’avait déjà qu’un
contrôle relatif de la sécurité de ses postes de travail, n’en a plus du tout.
 Informatique en nuage, première approche
L’informatique en nuage permet de confier ses données à un opérateur
extérieur qui ne se contentera pas de les stocker chez lui à l’instar des
hébergeurs traditionnels,

La virtualisation
 Sauvegarder données et documents
La sauvegarde régulière des données et de la documentation qui
permet de les utiliser est bien sûr un élément indispensable de la
sécurité du système d’information
 Vérifier les dispositifs de sécurité
Le dispositif de sécurité le mieux conçu ne remplit son rôle que s’il est
opérationnel, et surtout si ceux qui doivent le mettre en œuvre, en cas
de sinistre par exemple, sont eux aussi opérationnels. Il convient donc
de vérifier régulièrement les capacités des dispositifs matériels et
organisationnels.

Etablissement d’un PRA ou un PCA

LES ATTAQUANTS
 Les attaquants
• Les pirates informatiques privé, semblable a des détectives privé ils sont recrutés par des entreprises ou

personnes pour leurs compétences et exercent leur métier dans de l’espionnage industrielle généralement.

• Les pirates informatiques spécialisés dans l’espionnage, sous la gouverne d’un état ou d’une entité militaire

son but est donc de servir les intérêts de ces derniers dans la lutte informatique.

• Les pirates informatiques « avides d’argent », typiquement le genre de personnes à faire cela pour s’enrichir

personnellement.

• Ces pirates informatiques ou hackers sont aussi classés par rapport à leurs impacts sur les infrastructures visées,

pour rappel un hacker est donc un expert ou un spécialiste de la sécurité informatique maitrisant les moyens de

déjouer ou mettre à mal cette sécurité, de manière légal ou non.

 Les attaquants
• Les personnes organisant ces attaques sont classées dans la catégorie de pirate informatique mais des

distinctions au sein de ce groupe existent.

• Les pirates informatiques curieux, exerce cet activité par amusement, curiosité du domaine mais sans

volonté de nuire.

• Les pirates informatiques « rebelles », vise principalement des sites du gouvernement ou ses institutions

dans le but d’y causer des troubles ou de les rendrent inutilisables.

• Les pirates informatiques « pour la renommée », leur but est d’être connu et reconnu dans le milieu, ils

ciblent des installations réputées inviolables ou très protégées, un cas connu est le pentagone qui a lancé «

un défi » aux hackers dans le but de pénétrer ses propres installations, par la suite des contrats d'ambauche

ont été proposés.

 Les attaquants
• Les « chapeaux blancs » ou « White hat » : consultants en sécurité, effectuent des tests d'intrusions en accord

avec leurs clients et la législation.

• Les « chapeaux noirs » ou « Black hat » : créateurs de virus, cyber-espions, cyber-terroristes et cyber-escrocs,

hors-la-loi dans le but soit de nuire soit de tirer profit de leurs actes illégaux. Les plus nuisibles sont alors appelés

crashers.

• Les « chapeaux gris » ou « Grey hat » : s'ils n'hésitent pas à pénétrer dans les systèmes sans y être autorisés, ils

n'ont pas pour but premier la nuisance mais l'« exploit informatique ».

• Les « script kiddies » : terme péjoratif, généralement sans grande compétence, piratent en utilisant des

programmes codés par quelqu'un d'autre.

• Les « hacktivistes » : utilisent leurs compétences à des fins politiques

 Classification des attaquants
• Une classification par domaine de prédilection est aussi présente :

• - un crasher efface des données par jeu uniquement.

• - un cracker s'occupe de casser la protection des logiciels.

• - un carder s'occupe de casser les systèmes de protections des cartes à puces

comme les cartes bancaires, mais aussi les cartes de décodeur de chaîne payante.

• - un phreaker s'occupe de casser les protections du système téléphonique.