Sécurité informatique:

introduction

11/11/2023 1
 Sécurité informatique
• Les systèmes informatiques sont au cœur des
systèmes d'information
• Ils sont devenus la cible de ceux qui convoitent
l'information
• Assurer la sécurité de l'information implique d'assurer
la sécurité des systèmes informatiques

11/11/2023 2
 La sécurité des systèmes d'informations

11/11/2023 3
 Qui sont les pirates ?
• Peut être n'importe qui avec l‘évolution et la
vulgarisation des connaissances
• Beaucoup d'outils sont disponibles sur Internet
• Trois générations :
– 80's-90's : techniciens éclairés
– 1990-2000 : script kiddies
– 2000-aujourd'hui : l'insécurité devient facilement rentable
• Pub, SPAM
• e-commerce
• Espionnage industriel

11/11/2023 4
 Les risques pour l'entreprise
Les risques encourus par l'entreprise :
• Les risque stratégiques
– Destruction/altération de données
• Exemple : Boeing (57000$ après une intrusion)
– Vol de données stratégiques
• Exemple : Gartner William Malik (900 M$)
• Les autres risques
– Le commerce électronique
• Exemple : Kevin Mitnick et Netcom
– Piratage de site web
• Image de marque, militantisme
11/11/2023 5
 La sécurité, un marché porteur

11/11/2023 6
 La sécurité, un marché porteur
Les grands moins dominateurs
• - En 2014, les 5 plus grands éditeurs de logiciels de sécurité se partageaient 41,2%
des revenus du marché. Cette part s'est nettement réduite en 2015 pour atteindre
37,6% d'un marché de 22,1 milliards de dollars, en croissance annuelle de 3,7%.
• Les acteurs du Top 5, à l'exception notable d'IBM, ont tous enregistré l'année
dernière un recul de leur chiffre d'affaires. Cette situation s'explique en grande
partie par leur dépendance à l'égard des segments logiciels pour les particuliers et
des plateformes endpoint. Or en 2015, ces deux segments sont orientés à la
baisse.
• Au contraire, le SIEM (Security Information and Event Management), comme
l'année précédente, se développe rapidement : +15,8%. Bien positionné sur ces
technologies, IBM bénéficie de la croissance : son chiffre d'affaires augmente de
2,5%..

11/11/2023 7
 La sécurité, un marché porteur

11/11/2023 8
 La sécurité, un marché porteur
• Symantec souffre toujours - Symantec reste le premier fournisseur de
logiciels de sécurité. Néanmoins, pour une année de plus, et malgré sa
restructuration, son chiffre d'affaires est en nette baisse : -6,2% à 3,3
milliards de dollars. Il n'est cependant pas un cas isolé : Intel (-4,1%),
Trend Micro (5,9%) et EMC (5,3%). IBM est la seule exception avec +2,5%.
Toutefois, par rapport à 2014, le marché n'est plus aussi favorable pour Big
Blue (+17%).
• Pour Gartner, les grands éditeurs souffrent de portefeuilles produits
complexes face à la "disruption" ou rupture introduite par des vendeurs
plus petits et plus spécialisés. Si le Top 5 a vu ses revenus décliner de 4,2%,
les autres fournissent réalisent 9,2% de croissance.

11/11/2023 9
 La sécurité, un marché porteur

11/11/2023 10
 La sécurité, un marché porteur
• Ralentissement de la croissance - En 2013 et 2014, la croissance du
marché des logiciels de sécurité avait été de respectivement 4,9% et 5,3%.
Et en 2015 ? Le ralentissement est là à 3,7%. Toutefois, cette performance
s'explique d'abord par les mauvais résultats des principaux éditeurs
(-4,2%). Ces derniers pâtissent directement de la baisse des ventes de
licences auprès des particuliers : -5,9%. Une autre conséquence de la crise
du PC ?
• En 2011 et 2012, la croissance des revenus des logiciels de sécurité était
restée stable entre 7 et 8%. On était loin des niveaux de croissance d’il y a
encore quelques années. Entre 2007 et 2008, les éditeurs avaient ainsi vu
leur chiffre d’affaires augmenter de 18,6%. Même en 2009, année de crise,
la hausse avait été de 9%, puis de 12% en 2010. La situation économique,
en particulier en Europe de l’Ouest, explique en grande partie ce
ralentissement.

11/11/2023 11
 Objectifs
• Les trois principaux objectifs de la sécurité informatique :
• Confidentialité
• Intégrité
• Disponibilité

11/11/2023 12
 Confidentialité
• Définition: Propriété d'une donnée dont la diffusion doit être
limitée aux seules personnes autorisées.
Menaces : Contre-mesures :
- Ecoute du réseau - Cryptographie (chiffrement)
• Interne • Des données
• Externe • Des communications
- Vol de fichiers - Contrôle d'accès
• Données • Logique (mot de passe)
• Mots de passe • Physique (biométrie)
•Espionnage - Classification des actifs
•Ingénierie sociale - Formation du personnel

11/11/2023 13
 Intégrité
• Définition: Propriété d'une donnée dont la valeur est conforme
a celle définie par son propriétaire.
Menaces : Contre-mesures :
- Attaques malicieuses - Cryptographie
• Vers, virus • Signature, authentification
• Bombes logiques - Systèmes de détection
- Désinformation • Antivirus, systèmes de
- Erreurs humaines détection d'intrusion (IDS)
- Politique de sauvegarde

11/11/2023 14
 Disponibilité
• Définition: Propriété d'un S.I capable d'assurer ses fonctions sans
interruption, délai ou dégradation, au moment même ou la sollicitation en
est faite.
Menaces : Contre-mesures :
- Attaques malicieuses - Pare-feu
• Denis de services - Systèmes de détection d'intrusions
• SPAM - Clustering
-Attaques accidentelles - Formation des administrateurs
- Pannes

11/11/2023 15
 Les actifs de l'entreprise
Que protégé?
• Définition: Les actifs informationnels représentent l'ensemble des données
et des systèmes de l'information nécessaires au bon déroulement d'une
entreprise.

•Base de données clients •Codes sources

-Vente et Marketing - Equipe de développement
•Base de données des •Base de données usagers
employés - Equipe système.
-Ressources humaines
•Portail web
-Vente

11/11/2023 16
Objectifs (reformules) :
• La sécurité de l'information consiste a protéger les
actifs informationnels afin d'assurer l'intégralité de
leurs propriétés.
• Les actifs et leurs propriétés sont définis par les
objectifs d'affaire.

11/11/2023 17
 Un constat amer
• Evolution des risques :
– Plus de 50% ont subit des pertes financières liées a
des attaques informatiques
• Croissance de l'Internet
• Ouverture des réseaux de communication
• Succès des technologies nomades (téléphones, pda)
• Augmentation du nombre d'attaques
• Technologies plus complexes et moins maitrisées
• Changement de profil des pirates

11/11/2023 18
11/11/2023 19
11/11/2023 20
11/11/2023 21
11/11/2023 22
11/11/2023 23
11/11/2023 24
11/11/2023 25
11/11/2023 26
11/11/2023 27
11/11/2023 28
11/11/2023 29
 Type des attaques
• Types d'attaques répertoriées en 2006 :

11/11/2023 30
 Délais des attaques
• Evolution des délais entre découverte d'une vulnérabilité et
exploitation :

11/11/2023 31
 Les politiques de sécurité

• Définition : Les politiques de sécurité sont des énonces

généraux dictées par les cadres supérieurs décrivant le rôle de
la sécurité au sein de l'entreprise afin d'assurer les objectifs
d'affaire.
• Pour mettre en œuvre ces politiques, une organisation doit
être mise en place.
• Définition des rôles, des responsabilités et des imputabilités.

11/11/2023 32
 Les politiques de sécurité

Compromis sécurité - fonctionnalité :

• Définir les besoins.
– Déterminer les actifs a protéger et leurs propriétaires
• Quelles sont leurs valeurs ? Quelles sont leurs criticités ?
Quelles sont leurs propriétés ?
– Déterminer les menaces représentant des risques
• Quels sont les acteurs ? attaqueurs ? Quels sont leurs moyens ?
– Déterminer les objectifs a atteindre
• Quelles sont les propriétés des actifs a protéger ?
• Proposer une solution.
– Déterminer les contre-mesures a mettre en place
• Evaluer les risques résiduels.
– Déterminer quelles sont les vulnérabilités toujours présentes
– Déterminer leurs impacts sur les objectifs initiaux
11/11/2023 33
 Les politiques de sécurité

Création d'une politique de sécurité :

• Mise en œuvre
• Audit
• Tests d'intrusion
• Détection d'incidents
• Réactions
• Restauration

11/11/2023 34
 Les politiques de sécurité

Quelques méthodes :
• EBIOS (Expressions des Besoins et Identification des Objectifs de
Sécurité) http ://www.ssi.gouv.fr/fr/conance/ebios.html
• MEHARI (MEthode Harmonisée d'Analyse de Risques)
http ://www.clusif.asso.fr/fr/production/mehari
• Critères Communs (http ://www.commoncriteriaportal.org)
• Les normes ISO 2700x

11/11/2023 35
 Exemple ISO 17799

11/11/2023 36
Logiciel de sécurité par excellence ?

• Pare-feu ?
• Antivirus ?
• Système de détection d'intrusions ?
• :::?
• PowerPoint ! ! !

11/11/2023 37
 Le problème

• L'industrie de la sécurité
• Le marche de la sécurité réseau est évalué à des
milliards de dollars.
• Constat
– L'approche traditionnelle de sécuriser le périmètre du
réseau ne semble pas adéquate puisque nous avons
toujours les mêmes problèmes
• Raisons :
– Le manque d'information des utilisateurs
– La qualité des logiciels
11/11/2023 38
 Le rôle du développeur
• La sécurité des logiciels est donc critique !
– 50 % des vulnérabilités proviennent des erreurs de conception
– 50 % des vulnérabilités proviennent des erreurs
d'implémentation
• Dépassement de mémoire et d'entier
• Concurrence critique

11/11/2023 39
 Solution

Plusieurs solutions :
• Développement méthodes (cycle en V, en W,
etc.)
• Politique qualité au sein de l'entreprise (ISO,
CMMI)
• Informer !

11/11/2023 40
 Conclusion
• La sécurité informatique ne doit plus être ignorée !
• Connaissez-vous vous-même
– Déterminer les actifs qui doivent être protèges et leurs propriétés
– Déterminer les objectifs a atteindre
• Connaissez vos ennemis
– Déterminer les menaces contre lesquelles ils doivent être
protégés
• Réagissez !
– Politique de sécurité
– Principes, guides et règles connues
– Informer

11/11/2023 41