SlideShare une entreprise Scribd logo

Ch_1 - Généralités sur la sécurité informatique.pdf

N
Nafissa11

Généralités sur la sécurité informatique

Sciences
1  sur  32
Télécharger pour lire hors ligne
-Cours- Sécurité Informatique Dr. DIAB Tayeb Département Informatique tayeb.diab@univ-mascara.dz Public cible Systèmes Informatiques Licence 3
Objectifs A l’issue de ce cours, l’étudiant(e) sera capable de : - Acquérir des concepts relatifs à la sécurité informatique; - Comprendre les différentes failles de sécurité sur Internet; - Appréhender d’une façon générale les moyens de protection informatique.
Contenu Chapitre 1 : Généralités sur la sécurité informatique Chapitre 2 : Failles de sécurité informatique sur Internet Chapitre 3 : Protection informatique
-Chapitre 1- Généralités sur la sécurité informatique Dr. DIAB Tayeb Département Informatique tayeb.diab@univ-mascara.dz
1- Concepts liés à la sécurité informatique 2- Étude des risques liés à la sécurité informatique 3- Établissement d’une politique de sécurité 4- Eléments d’une politique de sécurité 5- Principaux défauts de la sécurité informatique 6- Eléments de droits Ch1: Généralités sur la sécurité informatique 1 2021/2022 Contenu Dr. T. Diab
Concepts liés à la sécurité informatique - Sécurité Informatique - Système Informatique - Vulnérabilité, menace et attaque informatiques - Propriétés de la sécurité informatique
L’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système informatique contre les menaces possibles qui peuvent compromettre ses propriétés de sécurité (disponibilité, intégrité, confidentialité, etc.). Sécurité Informatique Ch1: Généralités sur la sécurité informatique 2 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
site matériel réseau organisation Ressources immatérielles Ressources matérielles processus métiers app web logiciel Ressources logicielles traitement de texte personne Ressources humaines agent Ingénieur procédures Système Informatique Système d’Information Système Informatique Système Informatique Vs Système d’Information Ch1: Généralités sur la sécurité informatique 3 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
Faiblesse/faille au niveau d’une ressource/bien (Système d'exploitation, PC portable, etc.), durant : - Sa conception; - Son installation; - Son utilisation, - etc. Vulnérabilités Exemples : - Non-redondance (serveurs, BDD, câblage…) ; - Existence des bogues dans un dispositif logiciel ; - Etc. Peut être exploitée par des menaces, pour compromettre la ressource/système. Ch1: Généralités sur la sécurité informatique 4 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Vulnérabilité
Cause potentielle d’un incident. Menaces Code malveillant Personnes extérieures malveillantes Perte de service Stagiaire malintentionné Accidentelle : Erreurs de saisie; Oubli de sauvegarde; Etc. Intentionnelle (cause d’une attaque) Voleur autour du système; Virus; Logiciel mal configuré; Etc. Pourrait entrainer des dommages sur une ressource. Ch1: Généralités sur la sécurité informatique 5 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Menace
C’est la concrétisation d’une menace. => Nécessite l’exploitation d’une vulnérabilité d’une ressource. Attaques Exemples : - Destruction du matériel; - Lancement d’une attaque (déni de service (DoS), écoute passive, etc.); - Installation d’un virus; - Etc. Ch1: Généralités sur la sécurité informatique 6 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Attaque
Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Confidentialité Confidentiality Disponibilité Availability Intégrité Integrity (Critères DIC – CIA Triad) Ch1: Généralités sur la sécurité informatique 7 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
Disponibilité (Prêt à l’utilisation) La ressource doit être disponible a tout moment (au moment ou doit être disponible) aux personnes autorisées. Exemples : - Site web, moteur de recherche (Google) doit être disponible à tout moment; - Service d’état civile doit être disponible de Dimanche à Jeudi, de 08:00 à 12:00 et de 14:00 à 16:00; - Etc. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique 8
Intégrité (Absence d’altération inappropriée) La ressource ne puisse être modifiée que par les personnes autorisées. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 9 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Exemples : - Si les messages échangés entre deux communicants, sont modifiés par un tiers non autorisé => Manque d’intégrité des messages; - La signature numérique garantit l’intégrité d’un message => modification non autorisée peut être détectée; - Etc.
Confidentialité (Absence de divulgation non-autorisée ) La ressource n’est accessible qu'aux personnes autorisées. La ressource ne puisse être divulguée qu’aux personnes autorisées. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 10 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Exemples : - Dans une entreprise, l’endroit de la salle des serveurs doit être confidentiel et connu que par certaines personnes; - La base de données du système de l’organisme ne doit être consultée que par l’administrateur de BDD; - Un message chiffré/ crypté par l’expéditeur ne peut être lu que par le destinataire qui a la clé de déchiffrement; - Etc.
Reconnaissance de l’entité selon son : (Nom d'utilisateur, Adresse email,, etc.) Vérification/ certification de l’entité en fournissant des informations supplémentaires (Mot de passe, empreinte digitale, etc.) Prouver l'authenticité de l'entité; Limiter l'accès aux personnes autorisées. l’accès est autorisé selon des droits et privilèges accordés. Étapes du contrôle d’accès : 1. Identification 2. Authentification 3. Autorisation Et d’autres … Authenticité/ Authentification Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 11 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
Etude des risques liés à la sécurité informatique - Concepts liés à l’étude des risques - L’étude des risques - Exemple d’étude des risques – norme ISO 27005
Risque La potentialité qu'une menace exploite les vulnérabilités d’une (plusieurs) ressources(s) et cause ainsi des dommages au SI. Se compose de 3 éléments : Vulnérabilité(s), Menace(s) et Impact sur la ressource(s). RISQUE = IMPACT * VRAISEMBLENCE la conséquence du risque sur les propriétés (DIC) et sur les objectifs du système informatique. Impact la probabilité d’occurrence d’une attaque dans une période bien définie. Vraisemblance Ch1: Généralités sur la sécurité informatique 12 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique Concepts liés à l’étude des risques
Processus (ensemble d’activités coordonnées – ex: ISO 27005) applicable à l'organisation visant à identifier les problèmes potentiels avec les solutions avec les coûts associés. L’étude des risques . Améliorer la sécurisation du SI; . Réduire les coûts des problèmes/attaques informatiques; . La mise en place des mesures de sécurité nécessaires et efficaces; . Etc. Etablir une politique de sécurité incluant les solutions retenues durant l’étude des risques. Ch1: Généralités sur la sécurité informatique 13 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique L’étude des risques
Quelques étapes durant le processus de l’étude de risque ISO 27005 : . Présentation de l'organisation (objectifs, ressources, stratégies utilisées); . Valoriser les ressources (équipements, informations …) selon des critères (coûts, délais de remplacement …); . Identifier les vulnérabilités, les menaces et les impacts sur l'organisme lors d'un incident de sécurité; . Valoriser les impacts (selon des critères financières par exemple); . Identification des mesures de sécurité existantes; . Estimation de la vraisemblance des scénarios d’attaques; . Calcul de la valeur de risque de chaque scénario; . Prioritiser les risques; . Traiter les risques (éviter, réduire, transfert ou accepter); … Ch1: Généralités sur la sécurité informatique 14 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique Exemple d’étude de risques – norme ISO 27005 (Diapo suivant) Exemple d’analyse des risques dans une école de formation.
0 7 15
Etablissement d’une politique de sécurité - Définition - Eléments d’une politique de sécurité
Un plan d'actions/orientations/directives définies et suivies par l’organisation pour maintenir un certain niveau de sécurité. Elle spécifie les moyens (ressources, procédures, fonctions, outils…) qui répondent de façon complète et cohérente aux exigences de sécurité dans un contexte donné. Le choix des mesures de sécurité résultent généralement d’un compromis entre le coût d’impact des attaques et celui de la réduction des risques. Ch1: Généralités sur la sécurité informatique 16 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique »
• Quel degré de confiance pouvez vous avoir envers vos utilisateurs internes ? • Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ? • Quel sera l’impact de la mesure de sécurité sur le système (la clientèle, logiciels, matériels, etc) si le niveau de cette mesure est insuffisant, ou tellement fort qu’elle devient contraignante ? • Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l’externe ? … Questions à poser aidant à établir la politique de sécurité Ch1: Généralités sur la sécurité informatique 17 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique »
La politique de sécurité peut être découpée en plusieurs parties/ éléments. Pour chaque élément, un ensemble de moyens/mesures de sécurité sont définis : Défaillance matérielle Nécessité d’avoir une bonne garantie avec un support technique des équipements matériels (en cas de panne, défaut …); La température à l’intérieur des salles de serveurs doit être entre 18 et 27°C, etc. Défaillance logicielle Faire des copies des informations à risque pour se protéger contre les bugs des programmes informatiques; Les logiciels utilisés ne doivent pas être piratés ou crackés, etc. Une mise à jour régulière des logiciels; Erreur humaine Sensibilisation et Formation adéquate du personnel concernant la sécurité informatique. Ch1: Généralités sur la sécurité informatique 18 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Eléments d’une politique de sécurité informatique
Ch1: Généralités sur la sécurité informatique 19 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Eléments d’une politique de sécurité informatique RAID (Redundant Array of Independent Disks) : Techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs afin d'améliorer les performances et la tolérance aux pannes. Accidents (pannes, incendies, inondations…) Sauvegardes régulières pour protéger les données contre ces accidents : . Utiliser les disques RAID pour maintenir la disponibilité des serveurs ; . Copie des données dans un emplacement (bâtiment) loin du système (hebdomadaire), etc. Vol via des dispositifs physique Contrôler l'accès au matériel (portes blindées, agents, …); Mettre en place des dispositifs de surveillances (caméras, détecteurs de mouvement, …), etc. Virus provenant des clés USB Désactiver les lecteurs USB non nécessaires; Installation des programmes antivirus, etc.
Ch1: Généralités sur la sécurité informatique 20 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique » Contexte du SI (ressources, vulnérabilités, menaces, …) Etude des risques (ISO 27005, EBIOS, MEHARI, …) Politique de sécurité Réalisation des procédures, outils, moyens, …pour répondre aux exigences de sécurité. Etablissement basé su un compromis entre le cout d’impact d’attaque et le cout de sa réduction par la mesure de sécurité
Principaux défauts de la sécurité informatique - Principaux défauts de la sécurité informatique
Sont des actions accidentelles ou inconscientes du fonctionnement normal des équipements informatiques : . Installation par défaut des logiciels et matériels (accepter sans lire les conditions) ; . Mises à jour non effectuées (mises à jour peuvent inclure des correctifs de sécurité) ; . Mots de passe inexistants, faibles ou par défaut ; . BIOS non sécurisé (pas de mot de passe) ; . Fichiers traces (fichiers journaux, logs) inexploités ; . Pas de séparation des flux opérationnels des flux d’administration des systèmes ; . Procédures de sécurité obsolètes (anciennes) non efficaces ; . Authentification faible (nécessité d’utiliser l’authentification à deux ou trois facteurs dans certains systèmes) ; . Communication non chiffrée ; . Etc. Ch1: Généralités sur la sécurité informatique 21 2021/2022 Dr. T. Diab Principaux défauts de la sécurité informatique Principaux défauts de la sécurité informatique Fichier journal : fichier contenant les informations (l’historique) des évènements, des l’applications, du système, de la sécurité … Windows : l’outil « Observateur d’événnement » - fichiers logs dans (C:WindowsSystem32winevtLogs) Linux : fichiers logs dans (dossier/var/log)
Eléments de droits - Eléments de droits
Intrusions informatiques : Loi « Godfrain » 5/1/1988 (relative à la fraude informatique) Art. 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 € d’amende. Art. 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Art. 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Loi « Informatique et liberté n°78/17 » 6/1/1978 (relative à l’informatique, fichiers et aux libertés) Article 29 Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Ch1: Généralités sur la sécurité informatique 22 2021/2022 Dr. T. Diab Principaux défauts de la sécurité informatique Eléments de droits
- Fin - -Chapitre 1- Généralités sur la sécurité informatique

Recommandé

1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 

Recommandé

1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueCheick Ahmed Camara
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Ebios
EbiosEbios
Ebioskilojolid
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 

Contenu connexe

Tendances

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxLeandre Cof's Yeboue
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 

Tendances (20)

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
Ebios
EbiosEbios
Ebios
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 

Similaire à Ch_1 - Généralités sur la sécurité informatique.pdf

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfFootballLovers9
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane WEBDAYS
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 

Similaire à Ch_1 - Généralités sur la sécurité informatique.pdf (20)

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 

Ch_1 - Généralités sur la sécurité informatique.pdf

  • 1. -Cours- Sécurité Informatique Dr. DIAB Tayeb Département Informatique tayeb.diab@univ-mascara.dz Public cible Systèmes Informatiques Licence 3
  • 2. Objectifs A l’issue de ce cours, l’étudiant(e) sera capable de : - Acquérir des concepts relatifs à la sécurité informatique; - Comprendre les différentes failles de sécurité sur Internet; - Appréhender d’une façon générale les moyens de protection informatique.
  • 3. Contenu Chapitre 1 : Généralités sur la sécurité informatique Chapitre 2 : Failles de sécurité informatique sur Internet Chapitre 3 : Protection informatique
  • 4. -Chapitre 1- Généralités sur la sécurité informatique Dr. DIAB Tayeb Département Informatique tayeb.diab@univ-mascara.dz
  • 5. 1- Concepts liés à la sécurité informatique 2- Étude des risques liés à la sécurité informatique 3- Établissement d’une politique de sécurité 4- Eléments d’une politique de sécurité 5- Principaux défauts de la sécurité informatique 6- Eléments de droits Ch1: Généralités sur la sécurité informatique 1 2021/2022 Contenu Dr. T. Diab
  • 6. Concepts liés à la sécurité informatique - Sécurité Informatique - Système Informatique - Vulnérabilité, menace et attaque informatiques - Propriétés de la sécurité informatique
  • 7. L’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système informatique contre les menaces possibles qui peuvent compromettre ses propriétés de sécurité (disponibilité, intégrité, confidentialité, etc.). Sécurité Informatique Ch1: Généralités sur la sécurité informatique 2 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 8. site matériel réseau organisation Ressources immatérielles Ressources matérielles processus métiers app web logiciel Ressources logicielles traitement de texte personne Ressources humaines agent Ingénieur procédures Système Informatique Système d’Information Système Informatique Système Informatique Vs Système d’Information Ch1: Généralités sur la sécurité informatique 3 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 9. Faiblesse/faille au niveau d’une ressource/bien (Système d'exploitation, PC portable, etc.), durant : - Sa conception; - Son installation; - Son utilisation, - etc. Vulnérabilités Exemples : - Non-redondance (serveurs, BDD, câblage…) ; - Existence des bogues dans un dispositif logiciel ; - Etc. Peut être exploitée par des menaces, pour compromettre la ressource/système. Ch1: Généralités sur la sécurité informatique 4 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Vulnérabilité
  • 10. Cause potentielle d’un incident. Menaces Code malveillant Personnes extérieures malveillantes Perte de service Stagiaire malintentionné Accidentelle : Erreurs de saisie; Oubli de sauvegarde; Etc. Intentionnelle (cause d’une attaque) Voleur autour du système; Virus; Logiciel mal configuré; Etc. Pourrait entrainer des dommages sur une ressource. Ch1: Généralités sur la sécurité informatique 5 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Menace
  • 11. C’est la concrétisation d’une menace. => Nécessite l’exploitation d’une vulnérabilité d’une ressource. Attaques Exemples : - Destruction du matériel; - Lancement d’une attaque (déni de service (DoS), écoute passive, etc.); - Installation d’un virus; - Etc. Ch1: Généralités sur la sécurité informatique 6 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Attaque
  • 12. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Confidentialité Confidentiality Disponibilité Availability Intégrité Integrity (Critères DIC – CIA Triad) Ch1: Généralités sur la sécurité informatique 7 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 13. Disponibilité (Prêt à l’utilisation) La ressource doit être disponible a tout moment (au moment ou doit être disponible) aux personnes autorisées. Exemples : - Site web, moteur de recherche (Google) doit être disponible à tout moment; - Service d’état civile doit être disponible de Dimanche à Jeudi, de 08:00 à 12:00 et de 14:00 à 16:00; - Etc. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique 8
  • 14. Intégrité (Absence d’altération inappropriée) La ressource ne puisse être modifiée que par les personnes autorisées. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 9 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Exemples : - Si les messages échangés entre deux communicants, sont modifiés par un tiers non autorisé => Manque d’intégrité des messages; - La signature numérique garantit l’intégrité d’un message => modification non autorisée peut être détectée; - Etc.
  • 15. Confidentialité (Absence de divulgation non-autorisée ) La ressource n’est accessible qu'aux personnes autorisées. La ressource ne puisse être divulguée qu’aux personnes autorisées. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 10 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Exemples : - Dans une entreprise, l’endroit de la salle des serveurs doit être confidentiel et connu que par certaines personnes; - La base de données du système de l’organisme ne doit être consultée que par l’administrateur de BDD; - Un message chiffré/ crypté par l’expéditeur ne peut être lu que par le destinataire qui a la clé de déchiffrement; - Etc.
  • 16. Reconnaissance de l’entité selon son : (Nom d'utilisateur, Adresse email,, etc.) Vérification/ certification de l’entité en fournissant des informations supplémentaires (Mot de passe, empreinte digitale, etc.) Prouver l'authenticité de l'entité; Limiter l'accès aux personnes autorisées. l’accès est autorisé selon des droits et privilèges accordés. Étapes du contrôle d’accès : 1. Identification 2. Authentification 3. Autorisation Et d’autres … Authenticité/ Authentification Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 11 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 17. Etude des risques liés à la sécurité informatique - Concepts liés à l’étude des risques - L’étude des risques - Exemple d’étude des risques – norme ISO 27005
  • 18. Risque La potentialité qu'une menace exploite les vulnérabilités d’une (plusieurs) ressources(s) et cause ainsi des dommages au SI. Se compose de 3 éléments : Vulnérabilité(s), Menace(s) et Impact sur la ressource(s). RISQUE = IMPACT * VRAISEMBLENCE la conséquence du risque sur les propriétés (DIC) et sur les objectifs du système informatique. Impact la probabilité d’occurrence d’une attaque dans une période bien définie. Vraisemblance Ch1: Généralités sur la sécurité informatique 12 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique Concepts liés à l’étude des risques
  • 19. Processus (ensemble d’activités coordonnées – ex: ISO 27005) applicable à l'organisation visant à identifier les problèmes potentiels avec les solutions avec les coûts associés. L’étude des risques . Améliorer la sécurisation du SI; . Réduire les coûts des problèmes/attaques informatiques; . La mise en place des mesures de sécurité nécessaires et efficaces; . Etc. Etablir une politique de sécurité incluant les solutions retenues durant l’étude des risques. Ch1: Généralités sur la sécurité informatique 13 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique L’étude des risques
  • 20. Quelques étapes durant le processus de l’étude de risque ISO 27005 : . Présentation de l'organisation (objectifs, ressources, stratégies utilisées); . Valoriser les ressources (équipements, informations …) selon des critères (coûts, délais de remplacement …); . Identifier les vulnérabilités, les menaces et les impacts sur l'organisme lors d'un incident de sécurité; . Valoriser les impacts (selon des critères financières par exemple); . Identification des mesures de sécurité existantes; . Estimation de la vraisemblance des scénarios d’attaques; . Calcul de la valeur de risque de chaque scénario; . Prioritiser les risques; . Traiter les risques (éviter, réduire, transfert ou accepter); … Ch1: Généralités sur la sécurité informatique 14 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique Exemple d’étude de risques – norme ISO 27005 (Diapo suivant) Exemple d’analyse des risques dans une école de formation.
  • 22. Etablissement d’une politique de sécurité - Définition - Eléments d’une politique de sécurité
  • 23. Un plan d'actions/orientations/directives définies et suivies par l’organisation pour maintenir un certain niveau de sécurité. Elle spécifie les moyens (ressources, procédures, fonctions, outils…) qui répondent de façon complète et cohérente aux exigences de sécurité dans un contexte donné. Le choix des mesures de sécurité résultent généralement d’un compromis entre le coût d’impact des attaques et celui de la réduction des risques. Ch1: Généralités sur la sécurité informatique 16 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique »
  • 24. • Quel degré de confiance pouvez vous avoir envers vos utilisateurs internes ? • Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ? • Quel sera l’impact de la mesure de sécurité sur le système (la clientèle, logiciels, matériels, etc) si le niveau de cette mesure est insuffisant, ou tellement fort qu’elle devient contraignante ? • Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l’externe ? … Questions à poser aidant à établir la politique de sécurité Ch1: Généralités sur la sécurité informatique 17 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique »
  • 25. La politique de sécurité peut être découpée en plusieurs parties/ éléments. Pour chaque élément, un ensemble de moyens/mesures de sécurité sont définis : Défaillance matérielle Nécessité d’avoir une bonne garantie avec un support technique des équipements matériels (en cas de panne, défaut …); La température à l’intérieur des salles de serveurs doit être entre 18 et 27°C, etc. Défaillance logicielle Faire des copies des informations à risque pour se protéger contre les bugs des programmes informatiques; Les logiciels utilisés ne doivent pas être piratés ou crackés, etc. Une mise à jour régulière des logiciels; Erreur humaine Sensibilisation et Formation adéquate du personnel concernant la sécurité informatique. Ch1: Généralités sur la sécurité informatique 18 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Eléments d’une politique de sécurité informatique
  • 26. Ch1: Généralités sur la sécurité informatique 19 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Eléments d’une politique de sécurité informatique RAID (Redundant Array of Independent Disks) : Techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs afin d'améliorer les performances et la tolérance aux pannes. Accidents (pannes, incendies, inondations…) Sauvegardes régulières pour protéger les données contre ces accidents : . Utiliser les disques RAID pour maintenir la disponibilité des serveurs ; . Copie des données dans un emplacement (bâtiment) loin du système (hebdomadaire), etc. Vol via des dispositifs physique Contrôler l'accès au matériel (portes blindées, agents, …); Mettre en place des dispositifs de surveillances (caméras, détecteurs de mouvement, …), etc. Virus provenant des clés USB Désactiver les lecteurs USB non nécessaires; Installation des programmes antivirus, etc.
  • 27. Ch1: Généralités sur la sécurité informatique 20 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique » Contexte du SI (ressources, vulnérabilités, menaces, …) Etude des risques (ISO 27005, EBIOS, MEHARI, …) Politique de sécurité Réalisation des procédures, outils, moyens, …pour répondre aux exigences de sécurité. Etablissement basé su un compromis entre le cout d’impact d’attaque et le cout de sa réduction par la mesure de sécurité
  • 28. Principaux défauts de la sécurité informatique - Principaux défauts de la sécurité informatique
  • 29. Sont des actions accidentelles ou inconscientes du fonctionnement normal des équipements informatiques : . Installation par défaut des logiciels et matériels (accepter sans lire les conditions) ; . Mises à jour non effectuées (mises à jour peuvent inclure des correctifs de sécurité) ; . Mots de passe inexistants, faibles ou par défaut ; . BIOS non sécurisé (pas de mot de passe) ; . Fichiers traces (fichiers journaux, logs) inexploités ; . Pas de séparation des flux opérationnels des flux d’administration des systèmes ; . Procédures de sécurité obsolètes (anciennes) non efficaces ; . Authentification faible (nécessité d’utiliser l’authentification à deux ou trois facteurs dans certains systèmes) ; . Communication non chiffrée ; . Etc. Ch1: Généralités sur la sécurité informatique 21 2021/2022 Dr. T. Diab Principaux défauts de la sécurité informatique Principaux défauts de la sécurité informatique Fichier journal : fichier contenant les informations (l’historique) des évènements, des l’applications, du système, de la sécurité … Windows : l’outil « Observateur d’événnement » - fichiers logs dans (C:WindowsSystem32winevtLogs) Linux : fichiers logs dans (dossier/var/log)
  • 31. Intrusions informatiques : Loi « Godfrain » 5/1/1988 (relative à la fraude informatique) Art. 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 € d’amende. Art. 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Art. 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Loi « Informatique et liberté n°78/17 » 6/1/1978 (relative à l’informatique, fichiers et aux libertés) Article 29 Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Ch1: Généralités sur la sécurité informatique 22 2021/2022 Dr. T. Diab Principaux défauts de la sécurité informatique Eléments de droits
  • 32. - Fin - -Chapitre 1- Généralités sur la sécurité informatique