La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains...
• La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; avec preuve
d'émission ou avec preuve ...
Moyens techniques
De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système
d'informati...
• Les attaques (exploits): elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir
plusieurs attaques...
Prochain SlideShare
Chargement dans…5
×

La sécurité des systèmes d’information

1 248 vues

Publié le

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 248
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
76
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité des systèmes d’information

  1. 1. La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information. Introduction à la sécurité Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Le risque en terme de sécurité est généralement caractérisé par l'équation suivante : La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions. Méthodes d'analyse de risque Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français : • la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par la DCSSI ; • la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ; • la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon (USA). Objectifs de la sécurité informatique Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger. La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. La sécurité informatique vise généralement cinq principaux objectifs : • L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ; • La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ; • La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
  2. 2. • La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; avec preuve d'émission ou avec preuve de réception • L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. • Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. Moyens de sécurisation d'un système La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible. Ainsi, la sécurité du système d'information doit être abordée dans un contexte global : • la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (security awareness) ; • la sécurité de l'information ; • la sécurité des données, liée aux besoins de cohérence des données en univers réparti ; • la sécurité des réseaux ; • la sécurité des systèmes d'exploitation ; • la sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc. • la sécurité des applications, cela passe par exemple par la programmation sécurisée ; • la sécurité physique, soit la sécurité au niveau des infrastructures matérielles: salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …). Mise en place d'une politique de sécurité La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leurs ont été octroyés. La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes : • Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; • élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation pour les risques identifiés; • définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ; • sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations; • préciser les rôles et responsabilités. La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
  3. 3. Moyens techniques De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du système d'information : • Contrôle des accès au système d'information ; • Surveillance du réseau : sniffer, système de détection d'intrusion ; • Sécurité applicative : séparation des privilèges, audit de code, rétro ingénierie ; • Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, antipourriel (SPAM), anti-espiogiciel (spyware) ; • Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement. La politique de sécurité de l'information définit les objectifs et les mécanismes d'organisation de sécurité de l'information au sein d'une organisation. La définition des politiques de sécurité suivent au choix les principes de sécurité: confidentialité, intégrité ou disponibilité. Il existe plusieurs modèles formels de sécurité : • Le Modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques ; les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles ; celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité & intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique). • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés. • Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM. Définition Sniffer: appelée Le renifleur peut être un équipement matériel ou un logiciel : le premier est bien plus puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse, l'écart se resserre. Mais le premier est surtout beaucoup plus cher que le second. Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Rétro-ingénierie: rétroconception, ingénierie inversée ou ingénierie inverse, est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou sa méthode de fabrication. UTM : Unified threat management, ou (en français : traitement unifié de la menace) Parmi les fonctionnalités présentes dans un UTM, outre le pare-feu traditionnel, on cite généralement le filtrage anti-spam, un logiciel antivirus, un système de détection ou de prévention d'intrusion (IDS ou IPS), et un filtrage de contenu applicatif (filtrage URL).Toutes ces fonctionnalités sont regroupées dans un même boîtier, généralement appelé appliance. Le Pourriel: où le Spam désigne une communication électronique. La sécurité informatique utilise un vocabulaire bien défini que nous utilisons dans nos articles. De manière à bien comprendre ces articles, il est nécessaire de définir certains termes : • Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
  4. 4. • Les attaques (exploits): elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables. • Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même vulnérabilité). • Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une vulnérabilité.

×