SlideShare une entreprise Scribd logo
-Cours-
Sécurité Informatique
Dr. DIAB Tayeb
Département Informatique
tayeb.diab@univ-mascara.dz
Public cible
Systèmes Informatiques
Licence 3
Objectifs
A l’issue de ce cours, l’étudiant(e) sera capable de :
- Acquérir des concepts relatifs à la sécurité informatique;
- Comprendre les différentes failles de sécurité sur Internet;
- Appréhender d’une façon générale les moyens de protection
informatique.
Contenu
Chapitre 1 : Généralités sur la sécurité informatique
Chapitre 2 : Failles de sécurité informatique sur Internet
Chapitre 3 : Protection informatique
-Chapitre 1-
Généralités sur la sécurité informatique
Dr. DIAB Tayeb
Département Informatique
tayeb.diab@univ-mascara.dz
1- Concepts liés à la sécurité informatique
2- Étude des risques liés à la sécurité informatique
3- Établissement d’une politique de sécurité
4- Eléments d’une politique de sécurité
5- Principaux défauts de la sécurité informatique
6- Eléments de droits
Ch1: Généralités sur la sécurité informatique 1
2021/2022
Contenu
Dr. T. Diab
Concepts liés à
la sécurité
informatique
- Sécurité Informatique
- Système Informatique
- Vulnérabilité, menace et attaque informatiques
- Propriétés de la sécurité informatique
L’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un
système informatique contre les menaces possibles qui peuvent
compromettre ses propriétés de sécurité (disponibilité, intégrité,
confidentialité, etc.).
Sécurité Informatique
Ch1: Généralités sur la sécurité informatique 2
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
site matériel réseau
organisation
Ressources immatérielles
Ressources matérielles
processus
métiers
app web logiciel
Ressources logicielles
traitement de
texte
personne
Ressources humaines
agent Ingénieur
procédures
Système
Informatique
Système
d’Information
Système
Informatique
Système Informatique
Vs Système d’Information
Ch1: Généralités sur la sécurité informatique 3
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Faiblesse/faille au niveau d’une ressource/bien (Système
d'exploitation, PC portable, etc.), durant :
- Sa conception;
- Son installation;
- Son utilisation,
- etc.
Vulnérabilités
Exemples :
- Non-redondance (serveurs, BDD, câblage…) ;
- Existence des bogues dans un dispositif logiciel ;
- Etc.
Peut être exploitée par des menaces, pour
compromettre la ressource/système.
Ch1: Généralités sur la sécurité informatique 4
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Vulnérabilité
Cause potentielle d’un incident.
Menaces
Code malveillant
Personnes
extérieures
malveillantes
Perte de service
Stagiaire
malintentionné
Accidentelle :
Erreurs de saisie;
Oubli de sauvegarde;
Etc.
Intentionnelle (cause
d’une attaque)
Voleur autour du système;
Virus;
Logiciel mal configuré;
Etc.
Pourrait entrainer des dommages
sur une ressource.
Ch1: Généralités sur la sécurité informatique 5
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Menace
C’est la concrétisation d’une menace.
=> Nécessite l’exploitation d’une vulnérabilité
d’une ressource.
Attaques
Exemples :
- Destruction du matériel;
- Lancement d’une attaque (déni de service (DoS),
écoute passive, etc.);
- Installation d’un virus;
- Etc.
Ch1: Généralités sur la sécurité informatique 6
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Attaque
Propriétés/objectifs/critères de la sécurité
(exigences fondamentales)
Confidentialité
Confidentiality
Disponibilité
Availability
Intégrité
Integrity
(Critères DIC – CIA Triad)
Ch1: Généralités sur la sécurité informatique 7
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Disponibilité (Prêt à l’utilisation)
La ressource doit être disponible a tout moment (au moment ou doit
être disponible) aux personnes autorisées.
Exemples :
- Site web, moteur de recherche (Google) doit être
disponible à tout moment;
- Service d’état civile doit être disponible de
Dimanche à Jeudi, de 08:00 à 12:00 et de 14:00 à
16:00;
- Etc.
Propriétés/objectifs/critères de la sécurité
(exigences fondamentales)
Ch1: Généralités sur la sécurité informatique
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
8
Intégrité (Absence d’altération inappropriée)
La ressource ne puisse être modifiée que par les personnes
autorisées.
Propriétés/objectifs/critères de la sécurité
(exigences fondamentales)
Ch1: Généralités sur la sécurité informatique 9
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Exemples :
- Si les messages échangés entre deux communicants,
sont modifiés par un tiers non autorisé => Manque
d’intégrité des messages;
- La signature numérique garantit l’intégrité d’un
message => modification non autorisée peut être
détectée;
- Etc.
Confidentialité (Absence de divulgation non-autorisée )
La ressource n’est accessible qu'aux personnes autorisées.
La ressource ne puisse être divulguée qu’aux personnes autorisées.
Propriétés/objectifs/critères de la sécurité
(exigences fondamentales)
Ch1: Généralités sur la sécurité informatique 10
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Exemples :
- Dans une entreprise, l’endroit de la salle des serveurs
doit être confidentiel et connu que par certaines
personnes;
- La base de données du système de l’organisme ne doit
être consultée que par l’administrateur de BDD;
- Un message chiffré/ crypté par l’expéditeur ne peut être
lu que par le destinataire qui a la clé de déchiffrement;
- Etc.
Reconnaissance de
l’entité selon son :
(Nom d'utilisateur,
Adresse email,, etc.)
Vérification/ certification de l’entité en
fournissant des informations supplémentaires
(Mot de passe, empreinte digitale, etc.)
Prouver l'authenticité de l'entité;
Limiter l'accès aux personnes
autorisées.
l’accès est autorisé
selon des droits et
privilèges
accordés.
Étapes du contrôle d’accès :
1. Identification
2. Authentification
3. Autorisation
Et d’autres …
Authenticité/ Authentification
Propriétés/objectifs/critères de la sécurité
(exigences fondamentales)
Ch1: Généralités sur la sécurité informatique 11
2021/2022 Dr. T. Diab
Concepts
liés à la
sécurité
informatique
Etude des
risques liés à la
sécurité
informatique
- Concepts liés à l’étude des risques
- L’étude des risques
- Exemple d’étude des risques – norme ISO 27005
Risque
La potentialité qu'une menace exploite les
vulnérabilités d’une (plusieurs) ressources(s)
et cause ainsi des dommages au SI.
Se compose de 3 éléments : Vulnérabilité(s),
Menace(s) et Impact sur la ressource(s).
RISQUE = IMPACT * VRAISEMBLENCE
la conséquence du risque sur les
propriétés (DIC) et sur les objectifs
du système informatique.
Impact
la probabilité d’occurrence d’une
attaque dans une période bien
définie.
Vraisemblance
Ch1: Généralités sur la sécurité informatique 12
2021/2022 Dr. T. Diab
Etude des
risques liés à
la sécurité
informatique
Concepts liés à l’étude des risques
Processus (ensemble d’activités coordonnées – ex: ISO 27005)
applicable à l'organisation visant à identifier les problèmes
potentiels avec les solutions avec les coûts associés.
L’étude des risques
. Améliorer la sécurisation du SI;
. Réduire les coûts des
problèmes/attaques informatiques;
. La mise en place des mesures de sécurité
nécessaires et efficaces;
. Etc.
Etablir une politique de
sécurité incluant les
solutions retenues
durant l’étude des
risques.
Ch1: Généralités sur la sécurité informatique 13
2021/2022 Dr. T. Diab
Etude des
risques liés à
la sécurité
informatique
L’étude des risques
Quelques étapes durant le processus de l’étude de risque
ISO 27005 :
. Présentation de l'organisation (objectifs, ressources,
stratégies utilisées);
. Valoriser les ressources (équipements, informations …)
selon des critères (coûts, délais de remplacement …);
. Identifier les vulnérabilités, les menaces et les impacts
sur l'organisme lors d'un incident de sécurité;
. Valoriser les impacts (selon des critères financières par
exemple);
. Identification des mesures de sécurité existantes;
. Estimation de la vraisemblance des scénarios d’attaques;
. Calcul de la valeur de risque de chaque scénario;
. Prioritiser les risques;
. Traiter les risques (éviter, réduire, transfert ou accepter);
…
Ch1: Généralités sur la sécurité informatique 14
2021/2022 Dr. T. Diab
Etude des
risques liés à
la sécurité
informatique
Exemple d’étude de risques – norme ISO 27005
(Diapo suivant) Exemple
d’analyse des risques dans
une école de formation.
0
7
15
Etablissement
d’une politique
de sécurité
- Définition
- Eléments d’une politique de sécurité
Un plan d'actions/orientations/directives définies et suivies par l’organisation pour
maintenir un certain niveau de sécurité.
Elle spécifie les moyens (ressources, procédures, fonctions, outils…) qui répondent de
façon complète et cohérente aux exigences de sécurité dans un contexte donné.
Le choix des mesures de sécurité résultent généralement d’un compromis entre le coût
d’impact des attaques et celui de la réduction des risques.
Ch1: Généralités sur la sécurité informatique 16
2021/2022 Dr. T. Diab
Etablissement
d’une
politique de
sécurité
Def « Politique de sécurité informatique »
• Quel degré de confiance pouvez vous avoir envers vos utilisateurs internes ?
• Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
• Quel sera l’impact de la mesure de sécurité sur le système (la clientèle, logiciels,
matériels, etc) si le niveau de cette mesure est insuffisant, ou tellement fort qu’elle
devient contraignante ?
• Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible
de l’externe ?
…
Questions à poser aidant à établir la politique de sécurité
Ch1: Généralités sur la sécurité informatique 17
2021/2022 Dr. T. Diab
Etablissement
d’une
politique de
sécurité
Def « Politique de sécurité informatique »
La politique de sécurité peut être découpée en plusieurs parties/ éléments. Pour chaque
élément, un ensemble de moyens/mesures de sécurité sont définis :
Défaillance matérielle
Nécessité d’avoir une bonne garantie avec un support technique des équipements
matériels (en cas de panne, défaut …);
La température à l’intérieur des salles de serveurs doit être entre 18 et 27°C, etc.
Défaillance logicielle
Faire des copies des informations à risque pour se protéger contre les bugs des
programmes informatiques;
Les logiciels utilisés ne doivent pas être piratés ou crackés, etc.
Une mise à jour régulière des logiciels;
Erreur humaine
Sensibilisation et Formation adéquate du personnel concernant la sécurité informatique.
Ch1: Généralités sur la sécurité informatique 18
2021/2022 Dr. T. Diab
Etablissement
d’une
politique de
sécurité
Eléments d’une politique de sécurité informatique
Ch1: Généralités sur la sécurité informatique 19
2021/2022 Dr. T. Diab
Etablissement
d’une
politique de
sécurité
Eléments d’une politique de sécurité informatique
RAID (Redundant Array of Independent Disks) : Techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques
durs afin d'améliorer les performances et la tolérance aux pannes.
Accidents (pannes, incendies, inondations…)
Sauvegardes régulières pour protéger les données contre ces accidents :
. Utiliser les disques RAID pour maintenir la disponibilité des serveurs ;
. Copie des données dans un emplacement (bâtiment) loin du système (hebdomadaire), etc.
Vol via des dispositifs physique
Contrôler l'accès au matériel (portes blindées, agents, …);
Mettre en place des dispositifs de surveillances (caméras, détecteurs de mouvement, …), etc.
Virus provenant des clés USB
Désactiver les lecteurs USB non nécessaires;
Installation des programmes antivirus, etc.
Ch1: Généralités sur la sécurité informatique 20
2021/2022 Dr. T. Diab
Etablissement
d’une
politique de
sécurité
Def « Politique de sécurité informatique »
Contexte du SI
(ressources,
vulnérabilités,
menaces, …)
Etude des risques
(ISO 27005, EBIOS,
MEHARI, …)
Politique de sécurité
Réalisation des procédures,
outils, moyens, …pour
répondre aux exigences de
sécurité.
Etablissement basé su un compromis
entre le cout d’impact d’attaque et le
cout de sa réduction par la mesure de
sécurité
Principaux défauts
de la sécurité
informatique
- Principaux défauts de la sécurité informatique
Sont des actions accidentelles ou inconscientes du fonctionnement normal des équipements
informatiques :
. Installation par défaut des logiciels et matériels (accepter sans lire les conditions) ;
. Mises à jour non effectuées (mises à jour peuvent inclure des correctifs de sécurité) ;
. Mots de passe inexistants, faibles ou par défaut ;
. BIOS non sécurisé (pas de mot de passe) ;
. Fichiers traces (fichiers journaux, logs) inexploités ;
. Pas de séparation des flux opérationnels des flux d’administration des systèmes ;
. Procédures de sécurité obsolètes (anciennes) non efficaces ;
. Authentification faible (nécessité d’utiliser l’authentification à deux ou trois facteurs dans
certains systèmes) ;
. Communication non chiffrée ;
. Etc.
Ch1: Généralités sur la sécurité informatique 21
2021/2022 Dr. T. Diab
Principaux
défauts de la
sécurité
informatique
Principaux défauts de la sécurité informatique
Fichier journal : fichier contenant les informations (l’historique) des évènements, des l’applications, du système, de la sécurité …
Windows : l’outil « Observateur d’événnement » - fichiers logs dans (C:WindowsSystem32winevtLogs)
Linux : fichiers logs dans (dossier/var/log)
Eléments
de droits
- Eléments de droits
Intrusions informatiques :
Loi « Godfrain » 5/1/1988 (relative à la fraude informatique)
Art. 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un
système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 €
d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues
dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans
d’emprisonnement et de 30 000 € d’amende.
Art. 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement
automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende.
Art. 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement
automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est
puni de trois ans d’emprisonnement et de 45 000 € d’amende.
Loi « Informatique et liberté n°78/17 » 6/1/1978 (relative à l’informatique, fichiers et aux libertés)
Article 29 Toute personne ordonnant ou effectuant un traitement d’informations nominatives
s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles
afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient
déformées, endommagées ou communiquées à des tiers non autorisés.
Ch1: Généralités sur la sécurité informatique 22
2021/2022 Dr. T. Diab
Principaux
défauts de la
sécurité
informatique
Eléments de droits
- Fin -
-Chapitre 1-
Généralités sur la sécurité informatique

Contenu connexe

Tendances

Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
Intissar Dguechi
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
Zakariyaa AIT ELMOUDEN
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
Idir Gaci
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
emnabenamor3
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Salmen HITANA
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASupport cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 

Tendances (20)

Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASASupport cours : Vos premiers pas avec le pare feu CISCO ASA
Support cours : Vos premiers pas avec le pare feu CISCO ASA
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 

Similaire à Ch_1 - Généralités sur la sécurité informatique.pdf

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
facemeshfacemesh
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
badrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
FootballLovers9
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par  Fouad Guenane Security Day "Définitions, Risques et Droits" par  Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane
WEBDAYS
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 

Similaire à Ch_1 - Généralités sur la sécurité informatique.pdf (20)

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par  Fouad Guenane Security Day "Définitions, Risques et Droits" par  Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 

Ch_1 - Généralités sur la sécurité informatique.pdf

  • 1. -Cours- Sécurité Informatique Dr. DIAB Tayeb Département Informatique tayeb.diab@univ-mascara.dz Public cible Systèmes Informatiques Licence 3
  • 2. Objectifs A l’issue de ce cours, l’étudiant(e) sera capable de : - Acquérir des concepts relatifs à la sécurité informatique; - Comprendre les différentes failles de sécurité sur Internet; - Appréhender d’une façon générale les moyens de protection informatique.
  • 3. Contenu Chapitre 1 : Généralités sur la sécurité informatique Chapitre 2 : Failles de sécurité informatique sur Internet Chapitre 3 : Protection informatique
  • 4. -Chapitre 1- Généralités sur la sécurité informatique Dr. DIAB Tayeb Département Informatique tayeb.diab@univ-mascara.dz
  • 5. 1- Concepts liés à la sécurité informatique 2- Étude des risques liés à la sécurité informatique 3- Établissement d’une politique de sécurité 4- Eléments d’une politique de sécurité 5- Principaux défauts de la sécurité informatique 6- Eléments de droits Ch1: Généralités sur la sécurité informatique 1 2021/2022 Contenu Dr. T. Diab
  • 6. Concepts liés à la sécurité informatique - Sécurité Informatique - Système Informatique - Vulnérabilité, menace et attaque informatiques - Propriétés de la sécurité informatique
  • 7. L’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système informatique contre les menaces possibles qui peuvent compromettre ses propriétés de sécurité (disponibilité, intégrité, confidentialité, etc.). Sécurité Informatique Ch1: Généralités sur la sécurité informatique 2 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 8. site matériel réseau organisation Ressources immatérielles Ressources matérielles processus métiers app web logiciel Ressources logicielles traitement de texte personne Ressources humaines agent Ingénieur procédures Système Informatique Système d’Information Système Informatique Système Informatique Vs Système d’Information Ch1: Généralités sur la sécurité informatique 3 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 9. Faiblesse/faille au niveau d’une ressource/bien (Système d'exploitation, PC portable, etc.), durant : - Sa conception; - Son installation; - Son utilisation, - etc. Vulnérabilités Exemples : - Non-redondance (serveurs, BDD, câblage…) ; - Existence des bogues dans un dispositif logiciel ; - Etc. Peut être exploitée par des menaces, pour compromettre la ressource/système. Ch1: Généralités sur la sécurité informatique 4 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Vulnérabilité
  • 10. Cause potentielle d’un incident. Menaces Code malveillant Personnes extérieures malveillantes Perte de service Stagiaire malintentionné Accidentelle : Erreurs de saisie; Oubli de sauvegarde; Etc. Intentionnelle (cause d’une attaque) Voleur autour du système; Virus; Logiciel mal configuré; Etc. Pourrait entrainer des dommages sur une ressource. Ch1: Généralités sur la sécurité informatique 5 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Menace
  • 11. C’est la concrétisation d’une menace. => Nécessite l’exploitation d’une vulnérabilité d’une ressource. Attaques Exemples : - Destruction du matériel; - Lancement d’une attaque (déni de service (DoS), écoute passive, etc.); - Installation d’un virus; - Etc. Ch1: Généralités sur la sécurité informatique 6 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Attaque
  • 12. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Confidentialité Confidentiality Disponibilité Availability Intégrité Integrity (Critères DIC – CIA Triad) Ch1: Généralités sur la sécurité informatique 7 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 13. Disponibilité (Prêt à l’utilisation) La ressource doit être disponible a tout moment (au moment ou doit être disponible) aux personnes autorisées. Exemples : - Site web, moteur de recherche (Google) doit être disponible à tout moment; - Service d’état civile doit être disponible de Dimanche à Jeudi, de 08:00 à 12:00 et de 14:00 à 16:00; - Etc. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique 8
  • 14. Intégrité (Absence d’altération inappropriée) La ressource ne puisse être modifiée que par les personnes autorisées. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 9 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Exemples : - Si les messages échangés entre deux communicants, sont modifiés par un tiers non autorisé => Manque d’intégrité des messages; - La signature numérique garantit l’intégrité d’un message => modification non autorisée peut être détectée; - Etc.
  • 15. Confidentialité (Absence de divulgation non-autorisée ) La ressource n’est accessible qu'aux personnes autorisées. La ressource ne puisse être divulguée qu’aux personnes autorisées. Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 10 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique Exemples : - Dans une entreprise, l’endroit de la salle des serveurs doit être confidentiel et connu que par certaines personnes; - La base de données du système de l’organisme ne doit être consultée que par l’administrateur de BDD; - Un message chiffré/ crypté par l’expéditeur ne peut être lu que par le destinataire qui a la clé de déchiffrement; - Etc.
  • 16. Reconnaissance de l’entité selon son : (Nom d'utilisateur, Adresse email,, etc.) Vérification/ certification de l’entité en fournissant des informations supplémentaires (Mot de passe, empreinte digitale, etc.) Prouver l'authenticité de l'entité; Limiter l'accès aux personnes autorisées. l’accès est autorisé selon des droits et privilèges accordés. Étapes du contrôle d’accès : 1. Identification 2. Authentification 3. Autorisation Et d’autres … Authenticité/ Authentification Propriétés/objectifs/critères de la sécurité (exigences fondamentales) Ch1: Généralités sur la sécurité informatique 11 2021/2022 Dr. T. Diab Concepts liés à la sécurité informatique
  • 17. Etude des risques liés à la sécurité informatique - Concepts liés à l’étude des risques - L’étude des risques - Exemple d’étude des risques – norme ISO 27005
  • 18. Risque La potentialité qu'une menace exploite les vulnérabilités d’une (plusieurs) ressources(s) et cause ainsi des dommages au SI. Se compose de 3 éléments : Vulnérabilité(s), Menace(s) et Impact sur la ressource(s). RISQUE = IMPACT * VRAISEMBLENCE la conséquence du risque sur les propriétés (DIC) et sur les objectifs du système informatique. Impact la probabilité d’occurrence d’une attaque dans une période bien définie. Vraisemblance Ch1: Généralités sur la sécurité informatique 12 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique Concepts liés à l’étude des risques
  • 19. Processus (ensemble d’activités coordonnées – ex: ISO 27005) applicable à l'organisation visant à identifier les problèmes potentiels avec les solutions avec les coûts associés. L’étude des risques . Améliorer la sécurisation du SI; . Réduire les coûts des problèmes/attaques informatiques; . La mise en place des mesures de sécurité nécessaires et efficaces; . Etc. Etablir une politique de sécurité incluant les solutions retenues durant l’étude des risques. Ch1: Généralités sur la sécurité informatique 13 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique L’étude des risques
  • 20. Quelques étapes durant le processus de l’étude de risque ISO 27005 : . Présentation de l'organisation (objectifs, ressources, stratégies utilisées); . Valoriser les ressources (équipements, informations …) selon des critères (coûts, délais de remplacement …); . Identifier les vulnérabilités, les menaces et les impacts sur l'organisme lors d'un incident de sécurité; . Valoriser les impacts (selon des critères financières par exemple); . Identification des mesures de sécurité existantes; . Estimation de la vraisemblance des scénarios d’attaques; . Calcul de la valeur de risque de chaque scénario; . Prioritiser les risques; . Traiter les risques (éviter, réduire, transfert ou accepter); … Ch1: Généralités sur la sécurité informatique 14 2021/2022 Dr. T. Diab Etude des risques liés à la sécurité informatique Exemple d’étude de risques – norme ISO 27005 (Diapo suivant) Exemple d’analyse des risques dans une école de formation.
  • 22. Etablissement d’une politique de sécurité - Définition - Eléments d’une politique de sécurité
  • 23. Un plan d'actions/orientations/directives définies et suivies par l’organisation pour maintenir un certain niveau de sécurité. Elle spécifie les moyens (ressources, procédures, fonctions, outils…) qui répondent de façon complète et cohérente aux exigences de sécurité dans un contexte donné. Le choix des mesures de sécurité résultent généralement d’un compromis entre le coût d’impact des attaques et celui de la réduction des risques. Ch1: Généralités sur la sécurité informatique 16 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique »
  • 24. • Quel degré de confiance pouvez vous avoir envers vos utilisateurs internes ? • Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ? • Quel sera l’impact de la mesure de sécurité sur le système (la clientèle, logiciels, matériels, etc) si le niveau de cette mesure est insuffisant, ou tellement fort qu’elle devient contraignante ? • Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l’externe ? … Questions à poser aidant à établir la politique de sécurité Ch1: Généralités sur la sécurité informatique 17 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique »
  • 25. La politique de sécurité peut être découpée en plusieurs parties/ éléments. Pour chaque élément, un ensemble de moyens/mesures de sécurité sont définis : Défaillance matérielle Nécessité d’avoir une bonne garantie avec un support technique des équipements matériels (en cas de panne, défaut …); La température à l’intérieur des salles de serveurs doit être entre 18 et 27°C, etc. Défaillance logicielle Faire des copies des informations à risque pour se protéger contre les bugs des programmes informatiques; Les logiciels utilisés ne doivent pas être piratés ou crackés, etc. Une mise à jour régulière des logiciels; Erreur humaine Sensibilisation et Formation adéquate du personnel concernant la sécurité informatique. Ch1: Généralités sur la sécurité informatique 18 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Eléments d’une politique de sécurité informatique
  • 26. Ch1: Généralités sur la sécurité informatique 19 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Eléments d’une politique de sécurité informatique RAID (Redundant Array of Independent Disks) : Techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs afin d'améliorer les performances et la tolérance aux pannes. Accidents (pannes, incendies, inondations…) Sauvegardes régulières pour protéger les données contre ces accidents : . Utiliser les disques RAID pour maintenir la disponibilité des serveurs ; . Copie des données dans un emplacement (bâtiment) loin du système (hebdomadaire), etc. Vol via des dispositifs physique Contrôler l'accès au matériel (portes blindées, agents, …); Mettre en place des dispositifs de surveillances (caméras, détecteurs de mouvement, …), etc. Virus provenant des clés USB Désactiver les lecteurs USB non nécessaires; Installation des programmes antivirus, etc.
  • 27. Ch1: Généralités sur la sécurité informatique 20 2021/2022 Dr. T. Diab Etablissement d’une politique de sécurité Def « Politique de sécurité informatique » Contexte du SI (ressources, vulnérabilités, menaces, …) Etude des risques (ISO 27005, EBIOS, MEHARI, …) Politique de sécurité Réalisation des procédures, outils, moyens, …pour répondre aux exigences de sécurité. Etablissement basé su un compromis entre le cout d’impact d’attaque et le cout de sa réduction par la mesure de sécurité
  • 28. Principaux défauts de la sécurité informatique - Principaux défauts de la sécurité informatique
  • 29. Sont des actions accidentelles ou inconscientes du fonctionnement normal des équipements informatiques : . Installation par défaut des logiciels et matériels (accepter sans lire les conditions) ; . Mises à jour non effectuées (mises à jour peuvent inclure des correctifs de sécurité) ; . Mots de passe inexistants, faibles ou par défaut ; . BIOS non sécurisé (pas de mot de passe) ; . Fichiers traces (fichiers journaux, logs) inexploités ; . Pas de séparation des flux opérationnels des flux d’administration des systèmes ; . Procédures de sécurité obsolètes (anciennes) non efficaces ; . Authentification faible (nécessité d’utiliser l’authentification à deux ou trois facteurs dans certains systèmes) ; . Communication non chiffrée ; . Etc. Ch1: Généralités sur la sécurité informatique 21 2021/2022 Dr. T. Diab Principaux défauts de la sécurité informatique Principaux défauts de la sécurité informatique Fichier journal : fichier contenant les informations (l’historique) des évènements, des l’applications, du système, de la sécurité … Windows : l’outil « Observateur d’événnement » - fichiers logs dans (C:WindowsSystem32winevtLogs) Linux : fichiers logs dans (dossier/var/log)
  • 31. Intrusions informatiques : Loi « Godfrain » 5/1/1988 (relative à la fraude informatique) Art. 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 € d’amende. Art. 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Art. 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Loi « Informatique et liberté n°78/17 » 6/1/1978 (relative à l’informatique, fichiers et aux libertés) Article 29 Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Ch1: Généralités sur la sécurité informatique 22 2021/2022 Dr. T. Diab Principaux défauts de la sécurité informatique Eléments de droits
  • 32. - Fin - -Chapitre 1- Généralités sur la sécurité informatique