Téléchargé paryanguirania
41 vues

CH1_IntroductionSecurité.pdfcgood course

Le document aborde la sécurité des réseaux informatiques, en mettant l'accent sur l'importance de la protection des systèmes d'information et des données transitant par les réseaux. Il présente les menaces potentielles, les processus de sécurité, ainsi que les mécanismes et services de sécurité nécessaires pour assurer la confidentialité, l'intégrité et la disponibilité des informations. En outre, il souligne la nécessité d'un cadre sécurisé pour la gestion des accès et des domaines de confiance au sein d'une organisation.

Intégrer la présentation

Télécharger pour lire hors ligne
1 Sécurité Des Réseaux Informatiques Objectif du cours Maîtriser les notions de base relatives à la sécurité, les objectifs de la sécurité et les mécanismes à mettre en place pour assurer la sécurité des systèmes d’information et des données échangées à travers les réseaux de communications.
2 Chapitre I Introduction à la sécurité ISIMS 2008/2009
3 Pourquoi la sécurité ? L’information est une ressource stratégique. Une grande partie du budget d’une organisation est dépensée dans la gestion de l’information. Protection des biens de valeur contre la perte, la mauvaise utilisation, la divulgation ou l’endommagement. Menaces aux systèmes d’informations: erreurs humaines, employés malhonnêtes, accès externe, etc. Insécurité dans les technologies de communications: L’Ethernet est promiscuous, TCP/IP envoi des données en clair (les données peuvent être visualisées) et les applications doivent sécuriser les données, etc. L’adresse IP de la source peut être spoofée.
4 Besoin de sécurité pour le SI Un Système d’Information (SI) Ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Une intrusion à un SI peut causer des dégâts divers (perte de confiance des clients, vol des données confidentielles, pertes financières suite à des transactions erronées) et peut même menacer son existence sur le marché. SI représente un patrimoine essentiel de l’entreprise Nécessité de protection du SI (Sécurité du SI).
5 La sécurité, un processus de l’entreprise La sécurité est un processus dont le but est de réduire les risques ou la probabilité de subir des dommages. Ce processus implique tous les membres d’un organisme (chacun a son rôle). The Big Three (Confidentialité, Intégrité et Disponibilité) Les trois principes fondamentaux de la sécurité ! Confidentialité Intégrité Disponibilité
6 Le cycle de la sécurité Prévention Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués. En d’autres termes, empêcher quelqu’un de violer la politique de sécurité. Détection Prendre des mesures afin de détecter quand, comment, par qui un actif ou un bien a été endommagé. Détecter les activités qui sont en violation avec la politique de sécurité. Réaction Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un incident de sécurité.
7 Quelques termes à connaître : Intrus (Hacker) ? C’est l’entité responsable d’une attaque de sécurité. Une entité qui est capable de : Manipuler/agir sur le fonctionnement interne des machines. Manipuler des données propre à la cible de l’attaque de sécurité (sera appelée victime). Accéder à des ressources internes relatives à la victime, de façon non autorisée. Contourner (ou tenter à) les mécanismes mis en place pour sécuriser un SI ou un réseau. Deviner/Décrypter les mots de passe utilisés pour protéger l’accès à des comptes utilisateurs ou des services (type spécifique d’intrus : cracker).
8 Une menace est « un signe qui laisse prévoir un danger » La menace peut être : Une personne, un objet, ou un événement qui peut créer un danger pour un bien (en terme de confidentialité, intégrité ou disponibilité). Un moyen qui peut engendrer la violation d’une politique de sécurité. Une menace peut provenir de l'environnement naturel, physique ou peut être le résultat d'actions humaines. Une attaque de sécurité est la réalisation d’une menace. Menace : Définition
9 Exemples de menaces/attaques Accès non autorisé. Perte de l’intégrité du système. Déni de service. Les virus. Coupure d’électricité Panne du matériel (hardware failure) Divulgation des données confidentielles. Vol des données. Destruction des données. …
10 Les types de pertes Absence de service C’est la perte de disponibilité. La plus visible de toutes les pertes (apparente à tous ceux qui ont besoin du service). Divulgation d’informations C’est la perte de confidentialité par diffusion d’informations à ceux qui ne pourraient normalement y avoir accès. Destruction ou altération d’informations C’est la perte d’intégrité résultant de modifications apportées à des informations.
11 Vulnérabilité : définition Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une ressource d’informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource. La vulnérabilité caractérise les composants du système (matériel, logiciel, les règles, les procédures, personnel) susceptibles d’être attaquées avec succès. Une vulnérabilité est exploitée par une menace pour causer une perte. Exemples de vulnérabilités : Utilisation des mots de passe non robustes. Présence de comptes non protégés par mot de passe.
12 Autres définitions … La protection : est le processus d’anticipation qui vise à créer un environnement aussi sécurisé que possible. La détection : est le processus réactif par lequel on détermine les activités inappropriées et on alerte les personnes responsables. La réaction : est le processus de réponse à un incident de sécurité. L’identification : est le moyen utilisé pour identifier un utilisateur. L’authentification : est le processus de validation de l’identité d’un utilisateur.
13 La disponibilité : est la possibilité d’utiliser une ressource lorsque c’est nécessaire. La fiabilité : est l’assurance que l’information est correcte. Le risque La probabilité qu'une menace exploitera une vulnérabilité du système. C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme valeur une probabilité. Autres définitions … (1)
14 Services, mécanismes et attaques. Définis au niveau des recommandations de l’ITU-T (X.800, Security architecture for OSI.) Attaques de sécurité: Actions qui entraînent la compromission de la sécurité de l’information possédée par une organisation (destruction, vol des informations, prise de contrôle du système). Mécanismes de sécurité: mécanismes conçus pour détecter, empêcher ou récupérer suite à une attaque de sécurité. Services de sécurité: services qui assurent la sécurité des systèmes d’information et la sécurité des transferts de données. Ils s’opposent aux attaques de sécurité et font utiliser un ou plusieurs mécanismes de sécurité.
15 Les services de sécurité X.800 regroupe les services de sécurité en cinq catégories: Authentification Contrôle d’accès Confidentialité Intégrité Non répudiation
16 Les services de sécurité – Authentification Le service d’authentification assure : Le receveur (destinataire) que le message émane de la source qui prétend avoir envoyé ce message. L’authenticité des entités participantes: chacune des entités est celle qui prétende l’être (assuré généralement au début d’une connexion). La non perturbation de la connexion par une tierce partie qui se fait passer pour une entité légitime (émission ou réception non autorisée). Techniques utilisées : Cryptage, signature numérique, secret (mots de passes, PIN).
17 Les Services de sécurité – Contrôle d’accès Le contrôle d’accès aux systèmes d’information et aux réseaux associés est indispensable pour leur maintenir la confidentialité, l’intégrité et la disponibilité. Empêcher l’utilisation non autorisée d’une ressource (serveur, application, etc.) Le service de contrôle d’accès : Contrôle qui a le droit d’accéder aux ressources. Détermine sous qu’elles conditions ceci peut avoir lieu. Défini ce qu’une entité est autorisée de faire lors de l’accès à une ressource.
18 Protection des données transmises contre les attaques passives, et protection des flux de données contre l’analyse. Préservation du secret des données transmises. Seulement les entités communicantes sont capable d’observer les données. Plusieurs niveaux de confidentialité : Protection de tous les données échangées tout au long d’une connexion. Protection des données contenues au niveau d’un seul bloc de donnée. Protection de quelques champs des données échangées (pour une connexion ou un seul bloc de donnée). Protection de l’information (source, destination, etc.) qui peut être tirer à partir de l’observation des flux de données échangés. Les Services de sécurité – Confidentialité
19 Les Services de sécurité – Intégrité Détecter si les données ont été modifiées depuis la source vers la destination Service orienté connexion: assure la protection du flux de messages contre la duplication, la destruction, l’insertion, la modification, le rejeu, le reclassement, etc. Service non orienté connexion: assure la protection contre la modification uniquement et pour un seul message. Techniques utilisées : cryptage, signature numérique, contrôle d’accès, contrôle d’intégrité.
20 Les Services de sécurité – Non répudiation Empêche l’émetteur ou le receveur de nier avoir transmis ou reçu un message. Lorsqu’un message est envoyé, la destination peut prouver que le message est envoyé effectivement par la source prétendue. Lorsqu’un message est reçu, l’émetteur peut prouver que le message est reçu effectivement par la destination prétendue. Techniques utilisées: signature électronique (asymétrique), notarization. Intégrité Authentification Non répudiation
21 La disponibilité : Propriété ou service ? X.800 et RFC 2828 définissent la disponibilité comme étant la propriété d’un système ou d’une ressource du système accessible et utilisable suite à la demande d’une entité autorisée. X.800 considère la disponibilité comme étant une propriété associée aux services de sécurité. Mais, considéré la disponibilité comme un service, a un sens. Un service de disponibilité sera : Un service qui protège un système pour assurer sa disponibilité. Un service qui dépend du service de contrôle d’accès et des autres services de sécurité.
22 Les Mécanismes de sécurité Cryptage Utilisation d’algorithmes mathématiques pour transformer les messages en une forme non intelligible. La transformation dépend d’un algorithme et de zéro à plusieurs clés. Signature numérique Ajout de données, ou transformation cryptographique irréversible, à une unité de données afin de prouver la source et l’intégrité de cette unité de données. Échange d’authentification Mécanisme assurant l’identité d’une entité à travers un échange d’information.
23 Mécanismes de sécurité Notarization: Utilisation d’une tierce partie de confiance afin d’assurer certaines propriétés liées à un échange de données. Horodatage (Timestamping) Inclusion d’une date et d’un temps correct dans un message. Mécanismes non cryptographiques: Traffic Padding (insertion d’un certain nombre de bits au niveau d’un flux de données pour faire échouer les tentatives d’analyse du trafic) Détection d’intrusions Implémentation de Firewalls
24 Les attaques de sécurité X.800 et RFC 2828 classifient les attaques selon deux classes : Attaques passives : tentent de collecter ou utiliser des informations relatives au système, mais elles n’affectent pas les ressources du système. Attaques actives : tentent d’introduire des modifications sur les ressources du système ou affecter leur fonctionnement normal.
25 Attaques de sécurité – Attaques passives Difficiles à détecter puisqu’elles n’entraînent aucune altération de données. Interception/Ecoute: l’intrus est capable d’interpréter les données et d’extraire l’information (ex: email contenant des informations confidentielles, communication téléphonique)à partir du trafic échangé. Analyse du trafic: même en présence de mécanismes de cryptage des données transmises, l’intrus peut extraire des informations utiles sur la communication en observant l’identité des utilisateurs, l’emplacement des machines en communication, la fréquence et la longueur des messages échangés, etc. (Nature de l’échange!) Détection difficile, prévention plutôt que détection !
26 Attaques de sécurité – Attaques actives Les attaques actives sont groupées en quatre catégories : Mascarade (Masquerade): Une entité prétend être une entité différente afin d’obtenir des privilèges supplémentaires. Généralement ceci fait appel à d’autres techniques d’attaques actives. Rejeu (Replay): capture passive des données et leurs transmission ultérieure en vue de réaliser des actions non autorisées. Modification: Altération, destruction, ou reclassement d’une partie des messages échangés en vue de produire un effet non autorisé.
27 Attaques de sécurité – Attaques actives (1) Déni de service: Empêcher ou inhiber l’utilisation normale des moyens de communication: Interruption et suppression des messages en direction d’une destination particulière (ex: service d’audit sécurité) Perturbation de l’utilisation normale des ressources (réseau ou système) en les surchargeant de trafic inutile pour dégrader leurs performances. Difficulté d’empêcher les attaques actives de façon absolue à moins de protéger physiquement tous les moyens et chemins de communications en même temps.
28 Termes à ne pas confondre Interruption Interception Modification Fabrication
29 Les accès doivent être limités partout où intervient un changement : Dans le niveau de sécurité, ou De la personne responsable de l’administration de la sécurité, ou Dans le niveau du menace Parvenir à cet objectif par : Création des périmètres de sécurité successifs qui spécifient le niveau de sécurité requis pour les traverser. Limiter les accès limite les risques Points de contrôle
30 Domaine de sécurité C’est une partie du système d’information qui regroupe sous un contrôle commun des menaces de même nature et des niveaux de sécurité identiques. Il peut être géré et contrôlé indépendamment des autres domaines de sécurité. Les règles de sécurité sont appliquées uniformément à tout le domaine. Un domaine de sécurité ne peut communiquer avec les autres domaines qu’au travers des points de contrôle bien définis.
31 Domaine de confiance C’est une partie d’un domaine de sécurité qui applique le même modèle de confiance (admet la même authentification pour ses composantes). Souvent considéré comme un objet unique du système d’information. Un domaine de confiance comprend des systèmes (réseaux) ou une partie des systèmes (ordinateurs, modules). Lorsqu’un système du domaine de confiance est compromis, tous les systèmes de ce domaine le seront aussi.
32 Source Destination Technique de protection Technique de protection Domaine de confiance Domaine de confiance Domaine de non confiance Connexion de domaines de confiance
33 Connexion de domaines de confiance (1) Virtual Private Networks (VPN) Donnée --- sdljkyrt34bv467bnt$j5ytq/ --- Donnée Client Réseau de l’organisme Internet Serveur A B Principe Les données sont véhiculées du client vers le serveur à travers un « tunnel » crypté.
34 Modèle pour la sécurité du réseau Canal d’échange Message Message sécurisé Information secrète Intrus Tierce partie de confiance (ex. distributeur de clés de cryptage) Message sécurisé Transformation Information secrète Transformation Message Source Destination
35 Modèle pour la sécurité du réseau (1) Ce modèle dégage quatre tâches essentielles pour la mise en place d’un service de sécurité. Développement/utilisation d’un algorithme pour assurer la transformation requise. Génération de l’information secrète qui est requise par l’algorithme. Développement/choix des méthodes de distribution et de partage des informations secrètes. Spécification du protocole à utiliser par la source et la destination qui exploite l’algorithme et l’information secrète pour obtenir le service de sécurité souhaité.
36 Sécurité dans les couches de protocoles Besoin de la sécurité dans plus d’une couche (routage, transport, application) Les couches supérieures sont plus dépendantes aux applications et indépendantes aux technologies. La sécurité de bout en bout est plus simple à fournir dans les couches supérieures. Les mécanismes de sécurité dans les couches supérieures sont généralement implémentés sur des logiciels. Les mécanismes de sécurité dans les couches inférieures sont généralement implémentés sur du matériel.
37 Sécurité dans les couches de protocoles (1) PGP: Pretty Good Privacy, PEM: Privacy Enhanced Mail SSH: Secure Shell, SSL: Secure Socket Layer AH: Authentication Header, ESP: Encapsulating Security Payload. IP Transport Application IP Transport Application AH, ESP, … SSH, SSL, … PGP, PEM, …
38 Modèle d’accès au réseau Agent malveillant - Humain (intrus) - Logiciel (ex. virus, worm) Canal d’accès Fonction de contrôle d’accès Système d’information
39 Modèle d’accès au réseau (1) Nécessité de Sélectionner une fonction de filtrage appropriée afin d’identifier les utilisateurs et de s’assurer qu’uniquement les personnes autorisées accèdent aux ressources et informations du système. Exemple: Mots de passe, certificats numériques, etc. Implémenter des contrôles internes afin de surveiller l’activité des utilisateurs et analyser les informations pour détecter les actes malveillants.
40 Le Filtrage et la Détection d’intrusions Pare-feu (Firewall) Représente une barrière entre un réseau privée et un réseau publique. Fait passer uniquement le trafic permis par la politique de sécurité. Hypothèse: Le Firewall est exempt de vulnérabilité. Lui et le système sur lequel est installé sont de confiance. Système de Détection d’Intrusions Détecte les signes de violation de la politique de sécurité en vigueur. Utilise principalement une composante de détection permettant de détecter les signes d’intrusions, et une composante de réponse qui génère des réactions basées sur les résultats de détection. Analyse: On-line, Off-line (analyse différée des fichiers logs enregistrés) Réponse: Passive (alarmes), active (refuser l’accès) Architecture: centralisée, distribuée Type: applicatif, réseau.
41 Gestion de risque Modèle Biens Vulnérabilités Menaces Risque Contre-mesures
42 Gestion de risque (1) Inventaire et estimation des biens Types de Biens (Asset): Matériel (CPU, disque, routeurs, …). Logiciel (applications, bases de données, ...). Données (configuration, archives, …). Personnes (développeurs, administrateurs, …). Quels sont les ressources vitales à l’entreprise ? Difficulté d’évaluer proprement une ressource de type logiciels et données: Un traitement erroné dans un logiciel de finance peut aller jusqu’à des responsabilités légale. Des données erronées dans un système embarqué peuvent causer l’endommagement de tout le système.
43 Gestion de risque (2) Evaluation des menaces Exemple de menaces: Employé malhonnête, programme malveillant, intrus, … Déterminer Qui peut causer des endommagements ? Quels sont les biens qui peuvent subir des attaques ? Qu’est ce qui peut motiver les intrus à attaquer le système ? Quels sont les formes de perte qui peuvent avoir lieu ? Quels sont les formes de dégâts naturels qui peuvent avoir lieu ?
44 Gestion de risque (3) Evaluation des vulnérabilités Quels sont les vulnérabilités du système ? Quels sont les ressources les plus vulnérables ? Un intrus tente toujours d’exploiter la vulnérabilité la moins contrôlée.
45 Gestion de risque (4) Analyse de risque Déterminer les biens à protéger. Définir de quelles menaces seront-t-ils protégés Choisir comment les protéger. Contre-mesures Implémentation de mécanismes et de politiques de sécurité en vues de: Réduire les menaces. Réduire les vulnérabilités. Réduire l’impact. Détecter les évènements malveillants. Restaurer à partir d’un évènement malveillant. La protection doit être proportionnelle à la valeur des biens à protéger.
46 Politique de sécurité Ensemble de règles spécifiant: Comment les ressources sont gérées afin de satisfaire les exigences de sécurité. Quels sont les actions permises et les actions interdites. Objectif Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc. Étendu Organisationnel, ou individuel Implémentation Partiellement automatisée, mais toutes les personnes sont impliquées.
47 Politique de sécurité (1) Domaine d’application Elle doit fixer l’ensemble du personnel qui doit la respecter et l’appliquer. Domaines de responsabilité (administrateur système, …) Définit les règles pour : La gestion des mots de passe, L’authentification des utilisateurs, Le contrôle d’accès (réseau et système), L’architecture du réseau, La sécurité du personnel (formation, …) La sécurité physique, etc. Précise la périodicité de sa révision (important !).

Contenu connexe

PDF
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
PPT
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
PDF
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
parFootballLovers9
 
PDF
Sécurité des Systèmes Répartis- Partie 1
parLilia Sfaxi
 
PPTX
chapitere base de securite icichapitere base de securite ici
partataoui55
 
PDF
resume-theorique-m206-v1-0-62f6e972d0748.pdf
parAmineelbouabidi
 
PPTX
Securite1 cours 1 securite cours 1 .pptx
parraniachaib83
 
PDF
1 securite-des-reseaux.2 p
parsimomans
 
Sensibilisation sur la cybersécurité
parOUSMANESoumailaYaye
 
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
parFootballLovers9
 
Sécurité des Systèmes Répartis- Partie 1
parLilia Sfaxi
 
chapitere base de securite icichapitere base de securite ici
partataoui55
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
parAmineelbouabidi
 
Securite1 cours 1 securite cours 1 .pptx
parraniachaib83
 
1 securite-des-reseaux.2 p
parsimomans
 

Similaire à CH1_IntroductionSecurité.pdfcgood course

PDF
Full-Securite-System-Découvrir les notions de base de la sécurité .pdf
parfol3edes
 
PDF
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
paronyikondi
 
PDF
RESUMT_1.PDF
parbadrboutouja1
 
PDF
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
parFootballLovers9
 
PDF
1- Les bases de la sécurité informatique.pdf
parbadrboutouja1
 
PDF
1 securite-des-reseaux.2 p
parAbdellah Alahyane
 
PDF
1 securite-des-reseaux.2 p
parAbdellah Alahyane
 
PDF
1 securite-des-reseaux.2 p
parJean AMANI
 
PPTX
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
PDF
1 securite-des-reseaux.2 p
parAAMOUMHicham
 
DOC
La sécurité des systèmes d’information
parlara houda
 
PDF
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
PDF
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
pardiopsamba2
 
PPT
Audit
parzan
 
PDF
SÉCURITÉ INFORMATIQUE Partie 1_SÉCURITÉ INFORMATIQUE.pdf
partrendingv83
 
PPTX
La sécurité informatique
parSaber Ferjani
 
PDF
chap1-securite.pdfchap1-securite.pdfdddd
parMohamedShili4
 
PDF
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
Cours sécurité 2_asr
parTECOS
 
Full-Securite-System-Découvrir les notions de base de la sécurité .pdf
parfol3edes
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
paronyikondi
 
RESUMT_1.PDF
parbadrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
parFootballLovers9
 
1- Les bases de la sécurité informatique.pdf
parbadrboutouja1
 
1 securite-des-reseaux.2 p
parAbdellah Alahyane
 
1 securite-des-reseaux.2 p
parAbdellah Alahyane
 
1 securite-des-reseaux.2 p
parJean AMANI
 
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
1 securite-des-reseaux.2 p
parAAMOUMHicham
 
La sécurité des systèmes d’information
parlara houda
 
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
pardiopsamba2
 
Audit
parzan
 
SÉCURITÉ INFORMATIQUE Partie 1_SÉCURITÉ INFORMATIQUE.pdf
partrendingv83
 
La sécurité informatique
parSaber Ferjani
 
chap1-securite.pdfchap1-securite.pdfdddd
parMohamedShili4
 
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
Cours sécurité 2_asr
parTECOS
 

Plus de yanguirania

PPT
un bon algorithme et structure de chap 2
paryanguirania
 
PPT
un bon algorithme et structure chapitre1
paryanguirania
 
PPTX
AcademyMachineLearningFoundations-EN-ILT-02.pptx
paryanguirania
 
PPTX
AcademyMachineLearningFoundations-EN-ILT-01.pptx
paryanguirania
 
PPTX
AcademyMachineLearningFoundations-EN-ILT-07.pptx
paryanguirania
 
PPT
Administration de serveurs Web.ppt un tres bon cours
paryanguirania
 
PPT
Admin web.ppt un bon cours administration web
paryanguirania
 
PPT
Conduite des projets.ppt un bon cours multimedia
paryanguirania
 
PPT
ResolutionDeProbleme.ppt un tres bon cours
paryanguirania
 
PPT
securite des reseaux inf.ppt a good presentation
paryanguirania
 
PPT
Introduction à la sécurité e-commerce.ppt
paryanguirania
 
PDF
Protocoles_securité1.pdf un good course scurity
paryanguirania
 
PDF
La chaines de caractères avec la langage C
paryanguirania
 
un bon algorithme et structure de chap 2
paryanguirania
 
un bon algorithme et structure chapitre1
paryanguirania
 
AcademyMachineLearningFoundations-EN-ILT-02.pptx
paryanguirania
 
AcademyMachineLearningFoundations-EN-ILT-01.pptx
paryanguirania
 
AcademyMachineLearningFoundations-EN-ILT-07.pptx
paryanguirania
 
Administration de serveurs Web.ppt un tres bon cours
paryanguirania
 
Admin web.ppt un bon cours administration web
paryanguirania
 
Conduite des projets.ppt un bon cours multimedia
paryanguirania
 
ResolutionDeProbleme.ppt un tres bon cours
paryanguirania
 
securite des reseaux inf.ppt a good presentation
paryanguirania
 
Introduction à la sécurité e-commerce.ppt
paryanguirania
 
Protocoles_securité1.pdf un good course scurity
paryanguirania
 
La chaines de caractères avec la langage C
paryanguirania
 

CH1_IntroductionSecurité.pdfcgood course

  • 1.
    1 Sécurité Des RéseauxInformatiques Objectif du cours Maîtriser les notions de base relatives à la sécurité, les objectifs de la sécurité et les mécanismes à mettre en place pour assurer la sécurité des systèmes d’information et des données échangées à travers les réseaux de communications.
  • 2.
    2 Chapitre I Introduction àla sécurité ISIMS 2008/2009
  • 3.
    3 Pourquoi la sécurité? L’information est une ressource stratégique. Une grande partie du budget d’une organisation est dépensée dans la gestion de l’information. Protection des biens de valeur contre la perte, la mauvaise utilisation, la divulgation ou l’endommagement. Menaces aux systèmes d’informations: erreurs humaines, employés malhonnêtes, accès externe, etc. Insécurité dans les technologies de communications: L’Ethernet est promiscuous, TCP/IP envoi des données en clair (les données peuvent être visualisées) et les applications doivent sécuriser les données, etc. L’adresse IP de la source peut être spoofée.
  • 4.
    4 Besoin de sécuritépour le SI Un Système d’Information (SI) Ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Une intrusion à un SI peut causer des dégâts divers (perte de confiance des clients, vol des données confidentielles, pertes financières suite à des transactions erronées) et peut même menacer son existence sur le marché. SI représente un patrimoine essentiel de l’entreprise Nécessité de protection du SI (Sécurité du SI).
  • 5.
    5 La sécurité, unprocessus de l’entreprise La sécurité est un processus dont le but est de réduire les risques ou la probabilité de subir des dommages. Ce processus implique tous les membres d’un organisme (chacun a son rôle). The Big Three (Confidentialité, Intégrité et Disponibilité) Les trois principes fondamentaux de la sécurité ! Confidentialité Intégrité Disponibilité
  • 6.
    6 Le cycle dela sécurité Prévention Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués. En d’autres termes, empêcher quelqu’un de violer la politique de sécurité. Détection Prendre des mesures afin de détecter quand, comment, par qui un actif ou un bien a été endommagé. Détecter les activités qui sont en violation avec la politique de sécurité. Réaction Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un incident de sécurité.
  • 7.
    7 Quelques termes àconnaître : Intrus (Hacker) ? C’est l’entité responsable d’une attaque de sécurité. Une entité qui est capable de : Manipuler/agir sur le fonctionnement interne des machines. Manipuler des données propre à la cible de l’attaque de sécurité (sera appelée victime). Accéder à des ressources internes relatives à la victime, de façon non autorisée. Contourner (ou tenter à) les mécanismes mis en place pour sécuriser un SI ou un réseau. Deviner/Décrypter les mots de passe utilisés pour protéger l’accès à des comptes utilisateurs ou des services (type spécifique d’intrus : cracker).
  • 8.
    8 Une menaceest « un signe qui laisse prévoir un danger » La menace peut être : Une personne, un objet, ou un événement qui peut créer un danger pour un bien (en terme de confidentialité, intégrité ou disponibilité). Un moyen qui peut engendrer la violation d’une politique de sécurité. Une menace peut provenir de l'environnement naturel, physique ou peut être le résultat d'actions humaines. Une attaque de sécurité est la réalisation d’une menace. Menace : Définition
  • 9.
    9 Exemples de menaces/attaques Accès non autorisé. Perte de l’intégrité du système. Déni de service. Les virus. Coupure d’électricité Panne du matériel (hardware failure) Divulgation des données confidentielles. Vol des données. Destruction des données. …
  • 10.
    10 Les types depertes Absence de service C’est la perte de disponibilité. La plus visible de toutes les pertes (apparente à tous ceux qui ont besoin du service). Divulgation d’informations C’est la perte de confidentialité par diffusion d’informations à ceux qui ne pourraient normalement y avoir accès. Destruction ou altération d’informations C’est la perte d’intégrité résultant de modifications apportées à des informations.
  • 11.
    11 Vulnérabilité : définition Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une ressource d’informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource. La vulnérabilité caractérise les composants du système (matériel, logiciel, les règles, les procédures, personnel) susceptibles d’être attaquées avec succès. Une vulnérabilité est exploitée par une menace pour causer une perte. Exemples de vulnérabilités : Utilisation des mots de passe non robustes. Présence de comptes non protégés par mot de passe.
  • 12.
    12 Autres définitions … La protection : est le processus d’anticipation qui vise à créer un environnement aussi sécurisé que possible. La détection : est le processus réactif par lequel on détermine les activités inappropriées et on alerte les personnes responsables. La réaction : est le processus de réponse à un incident de sécurité. L’identification : est le moyen utilisé pour identifier un utilisateur. L’authentification : est le processus de validation de l’identité d’un utilisateur.
  • 13.
    13 La disponibilité: est la possibilité d’utiliser une ressource lorsque c’est nécessaire. La fiabilité : est l’assurance que l’information est correcte. Le risque La probabilité qu'une menace exploitera une vulnérabilité du système. C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme valeur une probabilité. Autres définitions … (1)
  • 14.
    14 Services, mécanismes etattaques. Définis au niveau des recommandations de l’ITU-T (X.800, Security architecture for OSI.) Attaques de sécurité: Actions qui entraînent la compromission de la sécurité de l’information possédée par une organisation (destruction, vol des informations, prise de contrôle du système). Mécanismes de sécurité: mécanismes conçus pour détecter, empêcher ou récupérer suite à une attaque de sécurité. Services de sécurité: services qui assurent la sécurité des systèmes d’information et la sécurité des transferts de données. Ils s’opposent aux attaques de sécurité et font utiliser un ou plusieurs mécanismes de sécurité.
  • 15.
    15 Les services desécurité X.800 regroupe les services de sécurité en cinq catégories: Authentification Contrôle d’accès Confidentialité Intégrité Non répudiation
  • 16.
    16 Les services desécurité – Authentification Le service d’authentification assure : Le receveur (destinataire) que le message émane de la source qui prétend avoir envoyé ce message. L’authenticité des entités participantes: chacune des entités est celle qui prétende l’être (assuré généralement au début d’une connexion). La non perturbation de la connexion par une tierce partie qui se fait passer pour une entité légitime (émission ou réception non autorisée). Techniques utilisées : Cryptage, signature numérique, secret (mots de passes, PIN).
  • 17.
    17 Les Services desécurité – Contrôle d’accès Le contrôle d’accès aux systèmes d’information et aux réseaux associés est indispensable pour leur maintenir la confidentialité, l’intégrité et la disponibilité. Empêcher l’utilisation non autorisée d’une ressource (serveur, application, etc.) Le service de contrôle d’accès : Contrôle qui a le droit d’accéder aux ressources. Détermine sous qu’elles conditions ceci peut avoir lieu. Défini ce qu’une entité est autorisée de faire lors de l’accès à une ressource.
  • 18.
    18 Protection desdonnées transmises contre les attaques passives, et protection des flux de données contre l’analyse. Préservation du secret des données transmises. Seulement les entités communicantes sont capable d’observer les données. Plusieurs niveaux de confidentialité : Protection de tous les données échangées tout au long d’une connexion. Protection des données contenues au niveau d’un seul bloc de donnée. Protection de quelques champs des données échangées (pour une connexion ou un seul bloc de donnée). Protection de l’information (source, destination, etc.) qui peut être tirer à partir de l’observation des flux de données échangés. Les Services de sécurité – Confidentialité
  • 19.
    19 Les Services desécurité – Intégrité Détecter si les données ont été modifiées depuis la source vers la destination Service orienté connexion: assure la protection du flux de messages contre la duplication, la destruction, l’insertion, la modification, le rejeu, le reclassement, etc. Service non orienté connexion: assure la protection contre la modification uniquement et pour un seul message. Techniques utilisées : cryptage, signature numérique, contrôle d’accès, contrôle d’intégrité.
  • 20.
    20 Les Services desécurité – Non répudiation Empêche l’émetteur ou le receveur de nier avoir transmis ou reçu un message. Lorsqu’un message est envoyé, la destination peut prouver que le message est envoyé effectivement par la source prétendue. Lorsqu’un message est reçu, l’émetteur peut prouver que le message est reçu effectivement par la destination prétendue. Techniques utilisées: signature électronique (asymétrique), notarization. Intégrité Authentification Non répudiation
  • 21.
    21 La disponibilité :Propriété ou service ? X.800 et RFC 2828 définissent la disponibilité comme étant la propriété d’un système ou d’une ressource du système accessible et utilisable suite à la demande d’une entité autorisée. X.800 considère la disponibilité comme étant une propriété associée aux services de sécurité. Mais, considéré la disponibilité comme un service, a un sens. Un service de disponibilité sera : Un service qui protège un système pour assurer sa disponibilité. Un service qui dépend du service de contrôle d’accès et des autres services de sécurité.
  • 22.
    22 Les Mécanismes desécurité Cryptage Utilisation d’algorithmes mathématiques pour transformer les messages en une forme non intelligible. La transformation dépend d’un algorithme et de zéro à plusieurs clés. Signature numérique Ajout de données, ou transformation cryptographique irréversible, à une unité de données afin de prouver la source et l’intégrité de cette unité de données. Échange d’authentification Mécanisme assurant l’identité d’une entité à travers un échange d’information.
  • 23.
    23 Mécanismes de sécurité Notarization: Utilisation d’une tierce partie de confiance afin d’assurer certaines propriétés liées à un échange de données. Horodatage (Timestamping) Inclusion d’une date et d’un temps correct dans un message. Mécanismes non cryptographiques: Traffic Padding (insertion d’un certain nombre de bits au niveau d’un flux de données pour faire échouer les tentatives d’analyse du trafic) Détection d’intrusions Implémentation de Firewalls
  • 24.
    24 Les attaques desécurité X.800 et RFC 2828 classifient les attaques selon deux classes : Attaques passives : tentent de collecter ou utiliser des informations relatives au système, mais elles n’affectent pas les ressources du système. Attaques actives : tentent d’introduire des modifications sur les ressources du système ou affecter leur fonctionnement normal.
  • 25.
    25 Attaques de sécurité– Attaques passives Difficiles à détecter puisqu’elles n’entraînent aucune altération de données. Interception/Ecoute: l’intrus est capable d’interpréter les données et d’extraire l’information (ex: email contenant des informations confidentielles, communication téléphonique)à partir du trafic échangé. Analyse du trafic: même en présence de mécanismes de cryptage des données transmises, l’intrus peut extraire des informations utiles sur la communication en observant l’identité des utilisateurs, l’emplacement des machines en communication, la fréquence et la longueur des messages échangés, etc. (Nature de l’échange!) Détection difficile, prévention plutôt que détection !
  • 26.
    26 Attaques de sécurité– Attaques actives Les attaques actives sont groupées en quatre catégories : Mascarade (Masquerade): Une entité prétend être une entité différente afin d’obtenir des privilèges supplémentaires. Généralement ceci fait appel à d’autres techniques d’attaques actives. Rejeu (Replay): capture passive des données et leurs transmission ultérieure en vue de réaliser des actions non autorisées. Modification: Altération, destruction, ou reclassement d’une partie des messages échangés en vue de produire un effet non autorisé.
  • 27.
    27 Attaques de sécurité– Attaques actives (1) Déni de service: Empêcher ou inhiber l’utilisation normale des moyens de communication: Interruption et suppression des messages en direction d’une destination particulière (ex: service d’audit sécurité) Perturbation de l’utilisation normale des ressources (réseau ou système) en les surchargeant de trafic inutile pour dégrader leurs performances. Difficulté d’empêcher les attaques actives de façon absolue à moins de protéger physiquement tous les moyens et chemins de communications en même temps.
  • 28.
    28 Termes à nepas confondre Interruption Interception Modification Fabrication
  • 29.
    29 Les accèsdoivent être limités partout où intervient un changement : Dans le niveau de sécurité, ou De la personne responsable de l’administration de la sécurité, ou Dans le niveau du menace Parvenir à cet objectif par : Création des périmètres de sécurité successifs qui spécifient le niveau de sécurité requis pour les traverser. Limiter les accès limite les risques Points de contrôle
  • 30.
    30 Domaine de sécurité C’est une partie du système d’information qui regroupe sous un contrôle commun des menaces de même nature et des niveaux de sécurité identiques. Il peut être géré et contrôlé indépendamment des autres domaines de sécurité. Les règles de sécurité sont appliquées uniformément à tout le domaine. Un domaine de sécurité ne peut communiquer avec les autres domaines qu’au travers des points de contrôle bien définis.
  • 31.
    31 Domaine de confiance C’est une partie d’un domaine de sécurité qui applique le même modèle de confiance (admet la même authentification pour ses composantes). Souvent considéré comme un objet unique du système d’information. Un domaine de confiance comprend des systèmes (réseaux) ou une partie des systèmes (ordinateurs, modules). Lorsqu’un système du domaine de confiance est compromis, tous les systèmes de ce domaine le seront aussi.
  • 32.
    32 Source Destination Technique de protection Techniquede protection Domaine de confiance Domaine de confiance Domaine de non confiance Connexion de domaines de confiance
  • 33.
    33 Connexion de domainesde confiance (1) Virtual Private Networks (VPN) Donnée --- sdljkyrt34bv467bnt$j5ytq/ --- Donnée Client Réseau de l’organisme Internet Serveur A B Principe Les données sont véhiculées du client vers le serveur à travers un « tunnel » crypté.
  • 34.
    34 Modèle pour lasécurité du réseau Canal d’échange Message Message sécurisé Information secrète Intrus Tierce partie de confiance (ex. distributeur de clés de cryptage) Message sécurisé Transformation Information secrète Transformation Message Source Destination
  • 35.
    35 Modèle pour lasécurité du réseau (1) Ce modèle dégage quatre tâches essentielles pour la mise en place d’un service de sécurité. Développement/utilisation d’un algorithme pour assurer la transformation requise. Génération de l’information secrète qui est requise par l’algorithme. Développement/choix des méthodes de distribution et de partage des informations secrètes. Spécification du protocole à utiliser par la source et la destination qui exploite l’algorithme et l’information secrète pour obtenir le service de sécurité souhaité.
  • 36.
    36 Sécurité dans lescouches de protocoles Besoin de la sécurité dans plus d’une couche (routage, transport, application) Les couches supérieures sont plus dépendantes aux applications et indépendantes aux technologies. La sécurité de bout en bout est plus simple à fournir dans les couches supérieures. Les mécanismes de sécurité dans les couches supérieures sont généralement implémentés sur des logiciels. Les mécanismes de sécurité dans les couches inférieures sont généralement implémentés sur du matériel.
  • 37.
    37 Sécurité dans lescouches de protocoles (1) PGP: Pretty Good Privacy, PEM: Privacy Enhanced Mail SSH: Secure Shell, SSL: Secure Socket Layer AH: Authentication Header, ESP: Encapsulating Security Payload. IP Transport Application IP Transport Application AH, ESP, … SSH, SSL, … PGP, PEM, …
  • 38.
    38 Modèle d’accès auréseau Agent malveillant - Humain (intrus) - Logiciel (ex. virus, worm) Canal d’accès Fonction de contrôle d’accès Système d’information
  • 39.
    39 Modèle d’accès auréseau (1) Nécessité de Sélectionner une fonction de filtrage appropriée afin d’identifier les utilisateurs et de s’assurer qu’uniquement les personnes autorisées accèdent aux ressources et informations du système. Exemple: Mots de passe, certificats numériques, etc. Implémenter des contrôles internes afin de surveiller l’activité des utilisateurs et analyser les informations pour détecter les actes malveillants.
  • 40.
    40 Le Filtrage etla Détection d’intrusions Pare-feu (Firewall) Représente une barrière entre un réseau privée et un réseau publique. Fait passer uniquement le trafic permis par la politique de sécurité. Hypothèse: Le Firewall est exempt de vulnérabilité. Lui et le système sur lequel est installé sont de confiance. Système de Détection d’Intrusions Détecte les signes de violation de la politique de sécurité en vigueur. Utilise principalement une composante de détection permettant de détecter les signes d’intrusions, et une composante de réponse qui génère des réactions basées sur les résultats de détection. Analyse: On-line, Off-line (analyse différée des fichiers logs enregistrés) Réponse: Passive (alarmes), active (refuser l’accès) Architecture: centralisée, distribuée Type: applicatif, réseau.
  • 41.
    41 Gestion de risque Modèle BiensVulnérabilités Menaces Risque Contre-mesures
  • 42.
    42 Gestion de risque(1) Inventaire et estimation des biens Types de Biens (Asset): Matériel (CPU, disque, routeurs, …). Logiciel (applications, bases de données, ...). Données (configuration, archives, …). Personnes (développeurs, administrateurs, …). Quels sont les ressources vitales à l’entreprise ? Difficulté d’évaluer proprement une ressource de type logiciels et données: Un traitement erroné dans un logiciel de finance peut aller jusqu’à des responsabilités légale. Des données erronées dans un système embarqué peuvent causer l’endommagement de tout le système.
  • 43.
    43 Gestion de risque(2) Evaluation des menaces Exemple de menaces: Employé malhonnête, programme malveillant, intrus, … Déterminer Qui peut causer des endommagements ? Quels sont les biens qui peuvent subir des attaques ? Qu’est ce qui peut motiver les intrus à attaquer le système ? Quels sont les formes de perte qui peuvent avoir lieu ? Quels sont les formes de dégâts naturels qui peuvent avoir lieu ?
  • 44.
    44 Gestion de risque(3) Evaluation des vulnérabilités Quels sont les vulnérabilités du système ? Quels sont les ressources les plus vulnérables ? Un intrus tente toujours d’exploiter la vulnérabilité la moins contrôlée.
  • 45.
    45 Gestion de risque(4) Analyse de risque Déterminer les biens à protéger. Définir de quelles menaces seront-t-ils protégés Choisir comment les protéger. Contre-mesures Implémentation de mécanismes et de politiques de sécurité en vues de: Réduire les menaces. Réduire les vulnérabilités. Réduire l’impact. Détecter les évènements malveillants. Restaurer à partir d’un évènement malveillant. La protection doit être proportionnelle à la valeur des biens à protéger.
  • 46.
    46 Politique de sécurité Ensemble de règles spécifiant: Comment les ressources sont gérées afin de satisfaire les exigences de sécurité. Quels sont les actions permises et les actions interdites. Objectif Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc. Étendu Organisationnel, ou individuel Implémentation Partiellement automatisée, mais toutes les personnes sont impliquées.
  • 47.
    47 Politique de sécurité(1) Domaine d’application Elle doit fixer l’ensemble du personnel qui doit la respecter et l’appliquer. Domaines de responsabilité (administrateur système, …) Définit les règles pour : La gestion des mots de passe, L’authentification des utilisateurs, Le contrôle d’accès (réseau et système), L’architecture du réseau, La sécurité du personnel (formation, …) La sécurité physique, etc. Précise la périodicité de sa révision (important !).