Transcript Principes généraux3

Chapitre 2: Principe de sécurité
Plan
 Critères de sécurité et fonctions associées
 Domaine d’application de la sécurité
 Différentes facettes de la sécurité
 TP1: Tester les outils : ping, traceroute, netstast
Mounir GRARI
Sécurité informatique
62
Chapitre 2: Principe de sécurité
1. Critères de sécurité et fonctions associées
 Les sécurité informatique doit contribuer à satisfaire les critères (objectifs) suivant :
oLa disponibilité
oL’ intégrité
oLa confidentialité
 Ils s’ajoutent à ces trois objectifs deux autres:
o ceux qui permettent de prouver l’identité des entités (notion d’authentification)
oet ceux qui indiquent que des actions ou évènements ont bien eu lieu (notions de
non-répudiation, d’imputabilité voire de traçabilité).
Mounir GRARI
Sécurité informatique
63
1. Critères de sécurité et fonctions associées
Chapitre 2: Principe de sécurité
Confidentialité
Disponibilité
Intégrité
Critères de sécurité
Non-répudiation
Mounir GRARI
Sécurité informatique
authenticité
64
Chapitre 2: Principe de sécurité
1.1 Disponibilité
 La disponibilité d’ un service est la probabilité de pouvoir mener correctement à
terme une session de travail.
 La disponibilité des services est obtenue:
- par un dimensionnement approprié et aussi une certaine redondance;
- par une gestion efficace des infrastructures.
 Exemple : Dans un réseau grande distance et de topologie maillée, la disponibilité
sera réalisée à condition que l’ensemble des liaison ait été correctement
dimensionné et que les politiques de routage soient satisfaisantes.
 Une ressource doit être assurée avec un minimum d’interruption. On parle de
continuité de service.
 Ainsi, un arbitrage entre le coût de la sauvegarde et celui du risque
d’indisponibilité supportable par l’organisation seront établis afin que la mise en
œuvre des mesures techniques soit efficace.
Mounir GRARI
Sécurité informatique
65
Chapitre 2: Principe de sécurité
1.2 Intégrité
 Le critère d’ intégrité est lié au fait que des ressources ou services n’ont pas été
altérés ou détruit tant de façon intentionnelle qu’accidentelle.
 Il est indispensable de se protéger contre la modification des données lors de leur
stockage, le leur traitement ou de leur transfert.
 l’intégrité de données en télécommunication relève essentiellement des problèmes
liés au transfert de données, cependant elle dépond des aspects purement
informatiques (logiciels, systèmes d’exploitation, environnement d’ exécution,
procédures de sauvegarde, de reprise et de restauration des données).
Mounir GRARI
Sécurité informatique
66
Chapitre 2: Principe de sécurité
1.3 Confidentialité
 La confidentialité peut être vue comme la protection des données contre une
divulgation non autorisé.
 Deux actions complémentaires permettent d’assurer la confidentialité des données:
- limiter leur accès par un mécanisme de contrôle d’ accès;
- transformer les données par des techniques de chiffrement pour qu’ elles
deviennent inintelligibles aux personnes n’ ont pas les moyens de les déchiffrer.
 Le chiffrement des données (ou cryptographie) contribue à en assurer la
confidentialité des données et à en augmenter la sécurité des données lors de leur
transmission ou de leur stockage.
Mounir GRARI
Sécurité informatique
67
Chapitre 2: Principe de sécurité
1.4 Identification et authentification
 Note : Identifier le peintre présumé d’un tableau signé est une chose, s’assurer que
le tableau est authentique en est une autre (identification et authentification).
 L’authentification vérifie une identité annoncée et de s’assurer de la non
usurpation de l’identité d’une entité (individu, ordinateur, programme, document,
etc.).
 Tous les mécanisme de contrôle d’ accès logique aux ressources informatiques
nécessitent de gérer l’ identification et l’ authentification.
 Exemple :
Je m’appelle mohamed → identification.
Mon mot de passe est blabla!12345 → authentification
Mounir GRARI
Sécurité informatique
68
Chapitre 2: Principe de sécurité
1.4 Non-répudiation
 La non-répudiation est le fait de ne pouvoir nier qu’ un évènement (action,
transaction) a eu lieu. Ce critère est liés aux notions d’ imputabilité, de traçabilité et
éventuellement d’ auditabilité.
 L’ imputabilité se définit par l’attribution d’un évènement à une entité déterminée
(ressource, personne). L’imputabilité est associée à la notion de responsabilité.
 La traçabilité a pour finalité de suivre la trace numérique laissée par la réalisation
d’une action (message électronique, transaction commerciale, transfert de
données…). Cette fonction comprend l’enregistrement des actions, la date de leur
réalisation et leur imputation. Exemple : Trouver l’adresse IP d’un machine à partir
duquel des données ont pu être envoyées (fichier log).
 L’auditabilité est la capacité d’un système à garantir les informations nécessaires à
une analyse d’un évènement dans le cadre de procédures de contrôle et d’audit.
L’audit peut être mis en œuvre pour vérifier, contrôler, évaluer, diagnostiquer l’
état de sécurité d’un système.
Mounir GRARI
Sécurité informatique
69
Chapitre 2: Principe de sécurité
2. Domaine d’application de la sécurité
 Toute les activités informatiques sont concernées par la sécurité d’un système
d’information.
 Selon le domaine d’application la sécurité informatique a plusieurs aspects :
- Sécurité physique ;
- sécurité de l’exploitation;
- sécurité logique ;
- sécurité applicative;
- sécurité des communications.
Mounir GRARI
Sécurité informatique
70
Chapitre 2: Principe de sécurité
2.1 Sécurité physique
 La sécurité physique est liée à tous les aspects liés à la maitrise des systèmes et de
l ’environnement dans lequel ils se situent.
 La sécurité repose essentiellement sur:
- les normes de sécurité;
- la protection des sources énergétiques (alimentation, etc.);
- la protection de l’environnement (incendie, température, humidité, etc.);
- la protection des accès (protection physique de équipement, locaux de
répartition, tableaux de connexion, infrastructure câblée, etc.);
- la sureté de fonctionnement et la fiabilité des matériels (composants, câbles, etc.);
- la redondance physique;
- le marquage des matériels;
- Le plan de maintenance préventive (test, etc.) et corrective (pièce de rechange,
etc.);
-…
Mounir GRARI
Sécurité informatique
71
Chapitre 2: Principe de sécurité
2.2 Sécurité de l’ exploitation
 La sécurité de l’ exploitation concerne tout ce qui est lié au bon
fonctionnement des systèmes informatiques.
 La sécurité de l’ exploitation dépend fortement de son niveau d’ industrialisation,
qui est qualifié par son niveau de supervision des applications et l’automatisation
des tâches.
 Les points critiques de la sécurité de l’ exploitation sont les suivant:
- plan de sauvegarde;
- plan de secours;
- plan de continuité;
- plan de tests;
- inventaires réguliers et si possible dynamique;
- gestion du parc informatique;
- gestion des configuration et des mises à jour;
- gestion des incidents et suivi jusqu’ à leur résolution;
- analyse de fichiers de journalisation et de comptabilité;
-…
Mounir GRARI
Sécurité informatique
72
Chapitre 2: Principe de sécurité
2.3 Sécurité logique
 La sécurité logique fait référence à l’ élaboration de solutions de sécurité par des
logiciels contribuant au bon fonctionnement des applications et services.
 La sécurité logique repose en grande partie sur des techniques de cryptographie
par des procédures d’authentification, par des antivirus, des procédures de
sauvegarde et de restitution des informations sensibles sur des supports fiables et
spécialement protégés et conservés dans des lieux sécurisés.
 Afin de déterminer le degré de protection nécessaire aux informations manipulées,
une classification des données est à réaliser afin de qualifier leur degré de
sensibilité (normale, confidentielle, etc.).
Mounir GRARI
Sécurité informatique
73
Chapitre 2: Principe de sécurité
2.4 Sécurité applicative
 La sécurité applicative comprend le développement de solutions logicielles
(ingénierie du logiciel, qualité du logiciel) ainsi que leur intégration et exécution
harmonieuses dans des environnements opérationnels.
 Elle s’appuie essentiellement sur l’ ensemble des facteurs suivants:
- une méthodologie de développement (respect des normes);
- la robustesse des applications;
- des contrôles programmés;
- des jeux des tests;
- des procédures de recettes;
- l’ intégration de mécanisme de sécurité, d’outils d’ administration et de contrôle
de qualité dans les applications;
- un plan de migration des application critiques;
- la validation et l’audit des programmes;
- un plan d’assurance sécurité;
-…
Mounir GRARI
Sécurité informatique
74
Chapitre 2: Principe de sécurité
2.4 Sécurité des communications
 La sécurité des communications consiste à offrir à l’utilisateur final une
connectivité fiable et de qualité de bout en bout (end to end security).
 Ceci implique l’ élaboration d’une infrastructure réseau sécurisée au niveau des
accès, de l’acheminement , des protocoles de communication, des systèmes d’
exploitation et des équipements de télécommunications et des supports de
transmission.
 La sécurité des télécommunications ne peut à elle seule garantir la sécurité des
transfert des données. Il est également impératif de sécuriser l’ infrastructure
applicative dans laquelle s’ exécutent les applications sur les systèmes d’extrémité
au niveau de l’ environnement de travail de l’utilisateur et des applications.
 Le sécurité des télécommunications ne peut s’envisager sans une analyse de risque
spécifique à chaque organisation en fonction de son infrastructure
environnementale, humaine, organisationnelle et informatique.
Mounir GRARI
Sécurité informatique
75
Chapitre 2: Principe de sécurité
3 Différentes facettes de la sécurité
 La sécurité informatique d’une organisation doit envisager d’une manière globale
et stratégique. Elle passe par la réalisation d’une politique de sécurité, la
motivation et la formation du personnel ainsi que par l’optimisation de l’usage des
technologie de l’information et des communications (TIC).
 La maitrise de la sécurité est une question de gestion. La sécurité informatique
passe par une gestion rigoureuse de la logistique, des ressources humaines, des
systèmes informatiques, des réseaux, des locaux et de l’infrastructure
environnementale et des mesures de sécurité.
 Exemple : Des techniques comme ceux chiffrement ou les firewalls ne permettent
pas de sécuriser un environnement à protéger s’ils ne sont pas inscrit dans une
démarche de gestion de risque précise.
Mounir GRARI
Sécurité informatique
76
Chapitre 2: Principe de sécurité
3.1 Diriger la sécurité
 diriger la sécurité correspond à la volonté de maitriser:
- les risques correspondant à l’usage des technologies de l’information;
- les coûts pour se protéger des menaces;
- les moyens à mettre en place pour réagir à une situation non sollicité mettant en
danger la performance du système d’information et ainsi celle de l’organisation.
 La sécurité repose sur des axes complémentaires managérial, technique et
juridique qui doivent être traités de manière complémentaires.
 La sécurité n’est jamais acquise définitivement. La constante évolution des
besoin, des systèmes, de menaces et risques rend instable toute mesure de sécurité.
Mounir GRARI
Sécurité informatique
77
Chapitre 2: Principe de sécurité
3.2 Importance du juridique dans la sécurité
 Il est nécessaire que les responsables puissent prouver que des mesures suffisante
de protection du système d’information et des données ont été mises en œuvre
afin de se protéger contre un délit de manquement à la sécurité. Il existe une
obligation de moyen concernant les solutions de sécurité.
 Les responsables d’ organisation doivent être attentifs à l’ égard du droit des
nouvelles technologies et de s’assurer que leur système d’information est en
conformité juridique.
 Les enjeux juridique doivent être pris en compte dans la mise en place des mesures
de sécurité, qu’ils soient relatif à la conservation des données, à la gestion de
données personnelles des clients, etc.
Mounir GRARI
Sécurité informatique
78
Chapitre 2: Principe de sécurité
3.3 Ethique et formation
 une éthique sécuritaire doit être élaborée au sein de l’ entreprise pour tous les
acteurs du système d’ information; elle doit se traduire par une charte reconnue
par chacun et par un engagement personnel à la respecter.
 Une charte d’utilisation des ressources informatiques et des services Internet doit
comprendre des clauses relatives:
- son domaine d’application
- les règles d’utilisation professionnelle, rationnelle et loyale des ressource;
- les procédés de sécurité;
- les condition de confidentialité;
- …
 Des actions d’ information et de formation sur les enjeux, les risques et les
mesures préventives et dissuasives de sécurité sont nécessaires pour éduquer l’
ensemble du personnel à adopter une démarche de sécurité.
 La signature de la charte de sécurité doit s’accompagner de moyens aux
signataires afin qu’ils puissent la respecter.
Mounir GRARI
Sécurité informatique
79
Chapitre 2: Principe de sécurité
3.4 Architecture de sécurité
 L’architecture de sécurité correspond à l’ ensemble des dimensions
organisationnelle, juridique, humaine et technologique de la sécurité informatique à
prendre en considération pour une appréhension complète de la sécurité d’une
organisation.
 Disposer d’ un cadre architectural permet d’ avoir un référentiel de sécurité qui
facilite la réalisation opérationnelle de la sécurité ainsi que son évaluation lors
d’audit.
 La conception d’un système d’ information distribué et sécurisé passe
impérativement par la définition préalable d’une structure conceptuelle qu’ est la
l’ architecture de sécurité.
Mounir GRARI
Sécurité informatique
80
3.4 Architecture de sécurité
Chapitre 2: Principe de sécurité
Dimension humaine
Ethique
Formation
Compétence
Etc.
Sécurité logique
Sensibilisation Sécurité matérielle
Sécurité environnementale
Dissuasion
Sécurité applicative
Sécurité des télécoms
Surveillance
Sécurité de l’exploitation
Dimension juridique
Normes
Procédures
Conformité
Etc.
Mounir GRARI
Dimension technique
Législation
Fichiers normatifs
Licence logiciel
Sécurité informatique
Dimension politique /économique
Responsabilité
Organisation
Mythologie
Gestion
Evaluation
Contrôle
Optimisation
Maitrise des cout
Assurance
Etc.
81
Chapitre 2: Principe de sécurité
 Exercice 11 : Quels sont les objectifs de la sécurité informatique?
 Exercice 12 : Pourquoi la sécurité d’un réseau relève d’une problématique de
gestion?
 Exercice 13 : Justifier le fait qu’ on doit élaboré les mesures de sécurité d’un
manière globale?
 Exercice 14 : Discute la notion d’architecture de sécurité? explique comment ses
différentes dimensions sont complémentaires.
Mounir GRARI
Sécurité informatique
82