SlideShare une entreprise Scribd logo
La Sécurité Des
Systèmes
d’Information
Plan
Copyright
Plan
 Introduction
 Concepts et Technologies
 Politique de Sécurité des Systèmes
d’Information
 Cas Pratiques
La Sécurité Des
Systèmes
d’Information
Introduction
Copyright
Définition
 Sécurité des SI=
 Protéger les biens et informations les plus
précieuses pour l’entreprise
Copyright
La Sécurité des SI
 Critères d’évaluation:
 Disponibilité
 Intégrité
 Confidentialité
 Traçabilité
Copyright
Introduction
 Les risques
 Les objectifs
 Définition
Copyright
Les Risques
 Mesurés par la combinaison d’une menace et
des pertes qu’elles pourraient engendrées
 Plusieurs éléments:
 Méthode d’attaque
 Éléments menaçants
 Vulnérabilités des entités
Copyright
Les Risques
 Attaque passive
 Attaque active
 Usurpation
 Répudiation
 Intrusion
Copyright
Les Objectifs
 Protéger les données stockées ou en transit sur le
réseau contre :
 modification (destruction) non autorisée
 utilisation frauduleuse
 divulgation non autorisée
 Sécuriser l’accès aux systèmes, services et
données par :
 vérification de l’identité déclinée par le requérant
 gestion des droits d’accès et des autorisations
Sécurité des Systèmes
d’Information
Concepts et Technologies
Copyright
Cryptographie
 Ensemble des techniques permettant de crypter
/ décrypter des messages
 Crypter : brouiller l’information,
la rendre “incompréhensible”
 Décrypter : rendre le message compréhensible
Emetteur Destinataire
Message
clair
#¨^%!! §§ $
££-@
Message
clair
encryption décryption
Copyright
Cryptographie: Clé
Symétrique
 Même clé pour chiffrer et déchiffrer
 Avantages :
 facile à implémenter
 rapide
Copyright
Cryptographie: Clé
Asymétrique
 Chaque communicant possède une paire de
clés associées : clé publique Kpb et clé privée
Kpv
 Un message chiffré par l’une des clés
 ne peut pas être déchiffré par cette même
clé
 mais peut être déchiffré par l’autre clé de la
paire
Copyright
Cryptographie
 La clé privée doit être conservée par son
propriétaire
 Rien n’impose de la dévoiler à qui que ce
soit
 La clé publique est diffusée sans restriction
 idéalement avec un niveau de diffusion
comparable à l’annuaire téléphonique
 Aucun moyen pratique de déduire l’une des
clés de la connaissance de l’autre clé
Copyright
Cryptographie : Avantages
 Message chiffré avec la clé publique
• seul le propriétaire de la clé privée
correspondante peut en prendre
connaissance : confidentialité
• le receveur n’a aucune idée de
l’expéditeur puisque la clé publique
est accessible à tous
Copyright
Cryptographie : Avantages
 Message chiffré avec la clé privée
• altération frauduleuse impossible car
nécessite la connaissance de la clé
privée : intégrité
• pas de confidentialité : la clé publique
peut être utilisée par tous pour lire
• la clé privée dévoile l’identité de
l’expéditeur
• propriétaire de la clé privée
Copyright
Cryptographie : Inconvénients
 Algorithmes complexes et difficiles à
implémenter
 Peu performant : long et gourmand en CPU
•  1000 plus lents que les algorithmes à
clés symétriques
 Moins sûrs contre les attaques de « force
brute »
• nécessite des clés plus longues que les
algorithmes symétriques
Copyright
Cryptographie: le Hashage
 Calcule un « condensé significatif » de taille
fixe, quelque soit la taille d’origine
 irréversible : transformation inverse
impossible
 déterministe : le même message produit le
même résumé
effets imprévisibles
L’intégrité du résumé significatif est une
garantie de l’intégrité du document d’origine
c’est une « empreinte digitale » du document
Copyright
Signature Electronique
 Propriétés :
 Ne peut être créée indépendamment
 Sa validité peut être vérifiée par tous
• la clé publique est accessible librement
• les algorithmes utilisés sont connus
 Elle révèle toute altération, frauduleuse ou
accidentelle
 Falsification en principe impossible
• non-répudiation
Copyright
PKI (Public Key Infrastructure)
 Ensemble des solutions techniques basées sur
la cryptographie à clé publique
 Canal sécurisé inutile  tiers de confiance CA
 Signe clé publique
 Assure véracité des informations
Copyright
PKI
 Confiance directe
 Modèle simple de confiance, l’utilisateur a
confiance dans la validité de la clé car il sait
d’où elle vient.
 Confiance hiérarchique ou “arbre” de confiance
 Le certificat est vérifié jusqu’à ce que le
certificat de type root soit trouvé.
 Confiance décentralisée ou en réseau
 Cumule des deux modèles.
Copyright
 Complète les techniques de cryptographie par :
 Les contrôles d’accès réseau (machines, serveurs)
• sur les paramètres utilisés pour l’établissement des
communications : adresses et ports, sens de la
connexion
• FIREWALL
Solutions et Dispositifs de Sécurisation :
Sécurité Architecturale
Copyright
Solutions et Dispositifs de
Sécurisation : Sécurité Architecturale
 Des contrôles plus fins (et plus lourds) au niveau
du flot de données émis ou reçu par une
application
• serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
• SAS applicatifs spécialisés pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)
Copyright
 Principaux standards :
 S/MIME (Secured Multipurpose Internet Mail
Extensions)
• chiffrement et signature digitale (authentification et
confidentialité) des messages électroniques et
documents attachés au format MIME
• extension du standard d’interopérabilité MIME
Solutions et dispositifs de sécurisation :
Sécurité off-line
Copyright
Solutions et dispositifs de
sécurisation : Sécurité off-line
 PGP (Pretty Good Privacy)
• système de cryptographie hybride (clés
symétriques et asymétriques)
• les données sont compressées puis
chiffrées pour économiser l’espace
disque.
• chaque utilisateur est sa propre autorité
de certification
 XML (eXtensible Markup Language)
Signature
 XML Encryption
Copyright
 Protections assurées
 attaque passive
 attaque active
 usurpation (émetteur)
 répudiation (émetteur)
 protection de bout en bout
 Protections non assurées
 usurpation (récepteur)
 intrusion
 répudiation (récepteur)
Solutions et dispositifs de sécurisation :
Sécurité off-line
Copyright
 Principaux protocoles :
 SSL/TLS (Secured Socket Layer/ Transport Layer
Security)
 SSH (Secured SHell)
 Protections assurées
 attaque passive
 attaque active
 usurpation
 Intrusion
 Protections non assurées
 répudiation
 protection de bout en bout
Solutions et dispositifs de sécurisation :
Sécurité de transport
La Sécurité des
Systèmes
d’Information
Politique de Sécurité des Systèmes
d’Information (PSSI)
Copyright
Définition
Ensemble formalisé dans un document applicable, des
directives, procédures, codes de conduite, règles
organisationnelles et techniques, ayant pour objectif la
protection des systèmes d’information de l’organisme.
Copyright
Principales étapes
 Audit
 Elaboration des règles
 Surveillance
 Actions
Copyright
Audit
 Identifier / Classer les risques et leurs
menaces:
 Quels sont les risques ?
 Quelle en est la probabilité ?
 Quels sont leurs impacts ?
 Identifier les besoins :
 État des lieux du SI
Copyright
Les risques
 Répertoriés les risques encourus
 Estimer leur probabilité:
 Faible: menace peu de chance de se
produire
 Moyenne: la menace est réelle
 Haute: la menace a de très grande chance
de se produire
 Etudier leur impact (coût des dommages)
Copyright
Elaboration de règles
 Règles et procédures pour répondre aux
risques
 Allouer les moyens nécessaires
Copyright
Surveillance
 Détecter les vulnérabilités du SI
 Se tenir informé des failles
 Etre réactifs …
Copyright
Les Cibles des Failles de la
Sécurité
 R&D
 Services financiers
 Marketing
 Réseaux de vente (! Distributeurs et clients trop bavards)
 Le service achat
 Le Personnel: sensibiliser l’ensemble
du personnel, attention aux licenciés,
mécontents …
Copyright
Actions
 Définir les actions à entreprendre
 Et les personnes à contacter en cas de
menace
Copyright
Actions
 Simples à mettre en œuvre et pourtant
pas toujours existantes !
 Entrées et sorties contrôlées
 Surveiller et piéger les BD dans
entreprise
 Méfiance au téléphone …
Copyright
Acteurs & Rôles
Pourquoi ?
Quoi
Qui ? Quand ?
Comment ?
Direction Générale
Responsable SSI
Responsable Fonctionnel
Responsable Projet
CHARTES
REGLES GENERALES
PROCESSUS & CONTROLES
PROCEDURES OPTIONNELLES
Copyright
Thèmes
 Classification et contrôle du patrimoine matériel et immatériel
 Rôle des personnes
 Protection des locaux et équipements
 Contrôle des accès et gestion des habilitations
 Gestion des communications et des opérations
 Développement et maintenance des systèmes d’information
 Continuité des activités
 Obligations légales
Copyright
Réussite PSSI
 Etre simple et réaliste pour que tout le monde la
comprenne et puisse la respecter
 Faire vivre
Copyright
Stratégie
 PSSI doit faire partie intégrante de la stratégie
de la société :
 défaut de sécurité coûte cher !
 Inclure une notion générale de la sécurité
reposant sur 4 points:
 Protection des applicatifs aux métiers du SI
qualifiés de sensible
 Diminution des vulnérabilités
 Sécurité proprement dite du SI
 Continuité en cas de sinistre
Copyright
Normes et Méthodes
 Normes = bonnes pratiques
 Méthodes = évaluation globale du SI en terme
de:
 Risques
 Protection
Copyright
Normes
 ISO 27 001:
 Approche processus (PDCA)
 133 mesures base dans l’élaboration
du plan
 ISO 17 799: découpage par thèmes
Copyright
Méthodes
 Démarche structurée
 Obtenir une partie des éléments stratégiques
Copyright
Méthodes
 Cobit: Control Objectives for Business and
related Techonology
 Ebios: Expression des besoins et identification
et des objectifs de sécurité
 Marion
 Mehari: Méthode harmonisée d’analyse des
risques
Copyright
Ebios
 Etude du contexte: éléments essentiels
(ensemble d’entités de différents types)
 Expression des besoins: critères de sécurité 
impact
 Etude des menaces: type/cause
 Expression des objectifs de sécurité
 Détermination des exigences de sécurité
Copyright
ISMS (Information Security Management
System)
 Application au domaine de la sécurité
informatique de la roue de Deming
Planifier Faire
Vérifier
(Ré)Agir
Copyright
ISMS (Information Security Management
System)
 Planifier: passer d’une posture réactive à
proactive
 Faire: développer des processus en suivant un
référentiel de sécurité
 Contrôler: audits et tests d’intrusion
 Agir: analyse des risques des besoins et enjeux
Copyright
Cadre juridique
 Loi Sarbannes-Oxley
 Loi des libertés personnelles

Contenu connexe

Similaire à La_sécurité_des_systèmes_d-_information.ppt

Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
ACCESS Group
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
Iyadtech
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
Astoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
badrboutouja1
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
ITrust - Cybersecurity as a Service
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
Lilia Sfaxi
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
IBM France PME-ETI
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
Hushapp by Syneidis
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
simomans
 

Similaire à La_sécurité_des_systèmes_d-_information.ppt (20)

Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 

Dernier

Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.
MahouwetinJacquesGBO
 
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
dokposeverin
 
A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)
lebaobabbleu
 
1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire
NadineHG
 
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptxMARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
Martin M Flynn
 
Cours Gestion d’actifs BNP -- CAMGESTION
Cours Gestion d’actifs BNP -- CAMGESTIONCours Gestion d’actifs BNP -- CAMGESTION
Cours Gestion d’actifs BNP -- CAMGESTION
Sékou Oumar SYLLA
 
Présentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Présentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaPrésentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Présentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
siemaillard
 
apprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdfapprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdf
kamouzou878
 
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
mcevapi3
 
A2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiquesA2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiques
lebaobabbleu
 
Zineb Mekouar.pptx Écrivaine marocaine
Zineb Mekouar.pptx   Écrivaine  marocaineZineb Mekouar.pptx   Écrivaine  marocaine
Zineb Mekouar.pptx Écrivaine marocaine
Txaruka
 
Formation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimismeFormation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimisme
M2i Formation
 
Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024
Friends of African Village Libraries
 
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certificationMS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
OlivierLumeau1
 

Dernier (14)

Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.Microbiologie: le monde microbien et les techniques de mise en évidence.
Microbiologie: le monde microbien et les techniques de mise en évidence.
 
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
Manuel-5.-Elevage-de-poisson-chat-africain-Clarias-gariepinus-en-bacs-hors-so...
 
A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)A2-Faire-une-appreciation positive et/ou négative (A2)
A2-Faire-une-appreciation positive et/ou négative (A2)
 
1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire1eT Revolutions Empire Revolution Empire
1eT Revolutions Empire Revolution Empire
 
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptxMARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
MARTYRS DE HOLLANDE - La révolte hollandaise et les guerres de religion..pptx
 
Cours Gestion d’actifs BNP -- CAMGESTION
Cours Gestion d’actifs BNP -- CAMGESTIONCours Gestion d’actifs BNP -- CAMGESTION
Cours Gestion d’actifs BNP -- CAMGESTION
 
Présentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Présentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaPrésentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Présentation3.pptxaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
 
apprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdfapprendre-a-programmer-avec-python-3.pdf
apprendre-a-programmer-avec-python-3.pdf
 
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
[218_phot_d'Autriche-Hongrie_et_des_[...]Vaffier_Hubert_btv1b8594559c.pdf
 
A2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiquesA2-Critiques-gastronomiques activités critiques
A2-Critiques-gastronomiques activités critiques
 
Zineb Mekouar.pptx Écrivaine marocaine
Zineb Mekouar.pptx   Écrivaine  marocaineZineb Mekouar.pptx   Écrivaine  marocaine
Zineb Mekouar.pptx Écrivaine marocaine
 
Formation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimismeFormation M2i - Attitude constructive : développer l'art de l'optimisme
Formation M2i - Attitude constructive : développer l'art de l'optimisme
 
Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024Burkina Faso libraries newsletter for June 2024
Burkina Faso libraries newsletter for June 2024
 
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certificationMS-203 Microsoft 365 Messaging Study Guide to prepare the certification
MS-203 Microsoft 365 Messaging Study Guide to prepare the certification
 

La_sécurité_des_systèmes_d-_information.ppt

  • 2. Copyright Plan  Introduction  Concepts et Technologies  Politique de Sécurité des Systèmes d’Information  Cas Pratiques
  • 4. Copyright Définition  Sécurité des SI=  Protéger les biens et informations les plus précieuses pour l’entreprise
  • 5. Copyright La Sécurité des SI  Critères d’évaluation:  Disponibilité  Intégrité  Confidentialité  Traçabilité
  • 6. Copyright Introduction  Les risques  Les objectifs  Définition
  • 7. Copyright Les Risques  Mesurés par la combinaison d’une menace et des pertes qu’elles pourraient engendrées  Plusieurs éléments:  Méthode d’attaque  Éléments menaçants  Vulnérabilités des entités
  • 8. Copyright Les Risques  Attaque passive  Attaque active  Usurpation  Répudiation  Intrusion
  • 9. Copyright Les Objectifs  Protéger les données stockées ou en transit sur le réseau contre :  modification (destruction) non autorisée  utilisation frauduleuse  divulgation non autorisée  Sécuriser l’accès aux systèmes, services et données par :  vérification de l’identité déclinée par le requérant  gestion des droits d’accès et des autorisations
  • 11. Copyright Cryptographie  Ensemble des techniques permettant de crypter / décrypter des messages  Crypter : brouiller l’information, la rendre “incompréhensible”  Décrypter : rendre le message compréhensible Emetteur Destinataire Message clair #¨^%!! §§ $ ££-@ Message clair encryption décryption
  • 12. Copyright Cryptographie: Clé Symétrique  Même clé pour chiffrer et déchiffrer  Avantages :  facile à implémenter  rapide
  • 13. Copyright Cryptographie: Clé Asymétrique  Chaque communicant possède une paire de clés associées : clé publique Kpb et clé privée Kpv  Un message chiffré par l’une des clés  ne peut pas être déchiffré par cette même clé  mais peut être déchiffré par l’autre clé de la paire
  • 14. Copyright Cryptographie  La clé privée doit être conservée par son propriétaire  Rien n’impose de la dévoiler à qui que ce soit  La clé publique est diffusée sans restriction  idéalement avec un niveau de diffusion comparable à l’annuaire téléphonique  Aucun moyen pratique de déduire l’une des clés de la connaissance de l’autre clé
  • 15. Copyright Cryptographie : Avantages  Message chiffré avec la clé publique • seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité • le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous
  • 16. Copyright Cryptographie : Avantages  Message chiffré avec la clé privée • altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité • pas de confidentialité : la clé publique peut être utilisée par tous pour lire • la clé privée dévoile l’identité de l’expéditeur • propriétaire de la clé privée
  • 17. Copyright Cryptographie : Inconvénients  Algorithmes complexes et difficiles à implémenter  Peu performant : long et gourmand en CPU •  1000 plus lents que les algorithmes à clés symétriques  Moins sûrs contre les attaques de « force brute » • nécessite des clés plus longues que les algorithmes symétriques
  • 18. Copyright Cryptographie: le Hashage  Calcule un « condensé significatif » de taille fixe, quelque soit la taille d’origine  irréversible : transformation inverse impossible  déterministe : le même message produit le même résumé effets imprévisibles L’intégrité du résumé significatif est une garantie de l’intégrité du document d’origine c’est une « empreinte digitale » du document
  • 19. Copyright Signature Electronique  Propriétés :  Ne peut être créée indépendamment  Sa validité peut être vérifiée par tous • la clé publique est accessible librement • les algorithmes utilisés sont connus  Elle révèle toute altération, frauduleuse ou accidentelle  Falsification en principe impossible • non-répudiation
  • 20. Copyright PKI (Public Key Infrastructure)  Ensemble des solutions techniques basées sur la cryptographie à clé publique  Canal sécurisé inutile  tiers de confiance CA  Signe clé publique  Assure véracité des informations
  • 21. Copyright PKI  Confiance directe  Modèle simple de confiance, l’utilisateur a confiance dans la validité de la clé car il sait d’où elle vient.  Confiance hiérarchique ou “arbre” de confiance  Le certificat est vérifié jusqu’à ce que le certificat de type root soit trouvé.  Confiance décentralisée ou en réseau  Cumule des deux modèles.
  • 22. Copyright  Complète les techniques de cryptographie par :  Les contrôles d’accès réseau (machines, serveurs) • sur les paramètres utilisés pour l’établissement des communications : adresses et ports, sens de la connexion • FIREWALL Solutions et Dispositifs de Sécurisation : Sécurité Architecturale
  • 23. Copyright Solutions et Dispositifs de Sécurisation : Sécurité Architecturale  Des contrôles plus fins (et plus lourds) au niveau du flot de données émis ou reçu par une application • serveur PROXY entre des clients et une application : exemple WEB proxy entre les browsers et le serveur WEB • SAS applicatifs spécialisés pour certaines applications : serveurs FTP ou Telnet (proxy FTP, proxy Telnet)
  • 24. Copyright  Principaux standards :  S/MIME (Secured Multipurpose Internet Mail Extensions) • chiffrement et signature digitale (authentification et confidentialité) des messages électroniques et documents attachés au format MIME • extension du standard d’interopérabilité MIME Solutions et dispositifs de sécurisation : Sécurité off-line
  • 25. Copyright Solutions et dispositifs de sécurisation : Sécurité off-line  PGP (Pretty Good Privacy) • système de cryptographie hybride (clés symétriques et asymétriques) • les données sont compressées puis chiffrées pour économiser l’espace disque. • chaque utilisateur est sa propre autorité de certification  XML (eXtensible Markup Language) Signature  XML Encryption
  • 26. Copyright  Protections assurées  attaque passive  attaque active  usurpation (émetteur)  répudiation (émetteur)  protection de bout en bout  Protections non assurées  usurpation (récepteur)  intrusion  répudiation (récepteur) Solutions et dispositifs de sécurisation : Sécurité off-line
  • 27. Copyright  Principaux protocoles :  SSL/TLS (Secured Socket Layer/ Transport Layer Security)  SSH (Secured SHell)  Protections assurées  attaque passive  attaque active  usurpation  Intrusion  Protections non assurées  répudiation  protection de bout en bout Solutions et dispositifs de sécurisation : Sécurité de transport
  • 28. La Sécurité des Systèmes d’Information Politique de Sécurité des Systèmes d’Information (PSSI)
  • 29. Copyright Définition Ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l’organisme.
  • 30. Copyright Principales étapes  Audit  Elaboration des règles  Surveillance  Actions
  • 31. Copyright Audit  Identifier / Classer les risques et leurs menaces:  Quels sont les risques ?  Quelle en est la probabilité ?  Quels sont leurs impacts ?  Identifier les besoins :  État des lieux du SI
  • 32. Copyright Les risques  Répertoriés les risques encourus  Estimer leur probabilité:  Faible: menace peu de chance de se produire  Moyenne: la menace est réelle  Haute: la menace a de très grande chance de se produire  Etudier leur impact (coût des dommages)
  • 33. Copyright Elaboration de règles  Règles et procédures pour répondre aux risques  Allouer les moyens nécessaires
  • 34. Copyright Surveillance  Détecter les vulnérabilités du SI  Se tenir informé des failles  Etre réactifs …
  • 35. Copyright Les Cibles des Failles de la Sécurité  R&D  Services financiers  Marketing  Réseaux de vente (! Distributeurs et clients trop bavards)  Le service achat  Le Personnel: sensibiliser l’ensemble du personnel, attention aux licenciés, mécontents …
  • 36. Copyright Actions  Définir les actions à entreprendre  Et les personnes à contacter en cas de menace
  • 37. Copyright Actions  Simples à mettre en œuvre et pourtant pas toujours existantes !  Entrées et sorties contrôlées  Surveiller et piéger les BD dans entreprise  Méfiance au téléphone …
  • 38. Copyright Acteurs & Rôles Pourquoi ? Quoi Qui ? Quand ? Comment ? Direction Générale Responsable SSI Responsable Fonctionnel Responsable Projet CHARTES REGLES GENERALES PROCESSUS & CONTROLES PROCEDURES OPTIONNELLES
  • 39. Copyright Thèmes  Classification et contrôle du patrimoine matériel et immatériel  Rôle des personnes  Protection des locaux et équipements  Contrôle des accès et gestion des habilitations  Gestion des communications et des opérations  Développement et maintenance des systèmes d’information  Continuité des activités  Obligations légales
  • 40. Copyright Réussite PSSI  Etre simple et réaliste pour que tout le monde la comprenne et puisse la respecter  Faire vivre
  • 41. Copyright Stratégie  PSSI doit faire partie intégrante de la stratégie de la société :  défaut de sécurité coûte cher !  Inclure une notion générale de la sécurité reposant sur 4 points:  Protection des applicatifs aux métiers du SI qualifiés de sensible  Diminution des vulnérabilités  Sécurité proprement dite du SI  Continuité en cas de sinistre
  • 42. Copyright Normes et Méthodes  Normes = bonnes pratiques  Méthodes = évaluation globale du SI en terme de:  Risques  Protection
  • 43. Copyright Normes  ISO 27 001:  Approche processus (PDCA)  133 mesures base dans l’élaboration du plan  ISO 17 799: découpage par thèmes
  • 44. Copyright Méthodes  Démarche structurée  Obtenir une partie des éléments stratégiques
  • 45. Copyright Méthodes  Cobit: Control Objectives for Business and related Techonology  Ebios: Expression des besoins et identification et des objectifs de sécurité  Marion  Mehari: Méthode harmonisée d’analyse des risques
  • 46. Copyright Ebios  Etude du contexte: éléments essentiels (ensemble d’entités de différents types)  Expression des besoins: critères de sécurité  impact  Etude des menaces: type/cause  Expression des objectifs de sécurité  Détermination des exigences de sécurité
  • 47. Copyright ISMS (Information Security Management System)  Application au domaine de la sécurité informatique de la roue de Deming Planifier Faire Vérifier (Ré)Agir
  • 48. Copyright ISMS (Information Security Management System)  Planifier: passer d’une posture réactive à proactive  Faire: développer des processus en suivant un référentiel de sécurité  Contrôler: audits et tests d’intrusion  Agir: analyse des risques des besoins et enjeux
  • 49. Copyright Cadre juridique  Loi Sarbannes-Oxley  Loi des libertés personnelles