Le document aborde la sécurité des systèmes d'information, incluant des concepts tels que la cryptographie, la signature électronique et les politiques de sécurité. Il met en évidence l'importance de la protection des données, la gestion des risques et les procédures nécessaires pour assurer la sécurité au sein d'une organisation. Différentes solutions et normes sont également discutées pour mettre en œuvre une politique de sécurité efficace.

1. La Sécurité Des
Systèmes
d’Information
Plan

2. Copyright
Plan
 Introduction
 Concepts et Technologies
 Politique de Sécurité des Systèmes
d’Information
 Cas Pratiques

3. La Sécurité Des
Systèmes
d’Information
Introduction

4. Copyright
Définition
 Sécurité des SI=
 Protéger les biens et informations les plus
précieuses pour l’entreprise

5. Copyright
La Sécurité des SI
 Critères d’évaluation:
 Disponibilité
 Intégrité
 Confidentialité
 Traçabilité

6. Copyright
Introduction
 Les risques
 Les objectifs
 Définition

7. Copyright
Les Risques
 Mesurés par la combinaison d’une menace et
des pertes qu’elles pourraient engendrées
 Plusieurs éléments:
 Méthode d’attaque
 Éléments menaçants
 Vulnérabilités des entités

8. Copyright
Les Risques
 Attaque passive
 Attaque active
 Usurpation
 Répudiation
 Intrusion

9. Copyright
Les Objectifs
 Protéger les données stockées ou en transit sur le
réseau contre :
 modification (destruction) non autorisée
 utilisation frauduleuse
 divulgation non autorisée
 Sécuriser l’accès aux systèmes, services et
données par :
 vérification de l’identité déclinée par le requérant
 gestion des droits d’accès et des autorisations

10. Sécurité des Systèmes
d’Information
Concepts et Technologies

11. Copyright
Cryptographie
 Ensemble des techniques permettant de crypter
/ décrypter des messages
 Crypter : brouiller l’information,
la rendre “incompréhensible”
 Décrypter : rendre le message compréhensible
Emetteur Destinataire
Message
clair
#¨^%!! §§ $
££-@
Message
clair
encryption décryption

12. Copyright
Cryptographie: Clé
Symétrique
 Même clé pour chiffrer et déchiffrer
 Avantages :
 facile à implémenter
 rapide

13. Copyright
Cryptographie: Clé
Asymétrique
 Chaque communicant possède une paire de
clés associées : clé publique Kpb et clé privée
Kpv
 Un message chiffré par l’une des clés
 ne peut pas être déchiffré par cette même
clé
 mais peut être déchiffré par l’autre clé de la
paire

14. Copyright
Cryptographie
 La clé privée doit être conservée par son
propriétaire
 Rien n’impose de la dévoiler à qui que ce
soit
 La clé publique est diffusée sans restriction
 idéalement avec un niveau de diffusion
comparable à l’annuaire téléphonique
 Aucun moyen pratique de déduire l’une des
clés de la connaissance de l’autre clé

15. Copyright
Cryptographie : Avantages
 Message chiffré avec la clé publique
• seul le propriétaire de la clé privée
correspondante peut en prendre
connaissance : confidentialité
• le receveur n’a aucune idée de
l’expéditeur puisque la clé publique
est accessible à tous

16. Copyright
Cryptographie : Avantages
 Message chiffré avec la clé privée
• altération frauduleuse impossible car
nécessite la connaissance de la clé
privée : intégrité
• pas de confidentialité : la clé publique
peut être utilisée par tous pour lire
• la clé privée dévoile l’identité de
l’expéditeur
• propriétaire de la clé privée

17. Copyright
Cryptographie : Inconvénients
 Algorithmes complexes et difficiles à
implémenter
 Peu performant : long et gourmand en CPU
•  1000 plus lents que les algorithmes à
clés symétriques
 Moins sûrs contre les attaques de « force
brute »
• nécessite des clés plus longues que les
algorithmes symétriques

18. Copyright
Cryptographie: le Hashage
 Calcule un « condensé significatif » de taille
fixe, quelque soit la taille d’origine
 irréversible : transformation inverse
impossible
 déterministe : le même message produit le
même résumé
effets imprévisibles
L’intégrité du résumé significatif est une
garantie de l’intégrité du document d’origine
c’est une « empreinte digitale » du document

19. Copyright
Signature Electronique
 Propriétés :
 Ne peut être créée indépendamment
 Sa validité peut être vérifiée par tous
• la clé publique est accessible librement
• les algorithmes utilisés sont connus
 Elle révèle toute altération, frauduleuse ou
accidentelle
 Falsification en principe impossible
• non-répudiation

20. Copyright
PKI (Public Key Infrastructure)
 Ensemble des solutions techniques basées sur
la cryptographie à clé publique
 Canal sécurisé inutile  tiers de confiance CA
 Signe clé publique
 Assure véracité des informations

21. Copyright
PKI
 Confiance directe
 Modèle simple de confiance, l’utilisateur a
confiance dans la validité de la clé car il sait
d’où elle vient.
 Confiance hiérarchique ou “arbre” de confiance
 Le certificat est vérifié jusqu’à ce que le
certificat de type root soit trouvé.
 Confiance décentralisée ou en réseau
 Cumule des deux modèles.

22. Copyright
 Complète les techniques de cryptographie par :
 Les contrôles d’accès réseau (machines, serveurs)
• sur les paramètres utilisés pour l’établissement des
communications : adresses et ports, sens de la
connexion
• FIREWALL
Solutions et Dispositifs de Sécurisation :
Sécurité Architecturale

23. Copyright
Solutions et Dispositifs de
Sécurisation : Sécurité Architecturale
 Des contrôles plus fins (et plus lourds) au niveau
du flot de données émis ou reçu par une
application
• serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
• SAS applicatifs spécialisés pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)

24. Copyright
 Principaux standards :
 S/MIME (Secured Multipurpose Internet Mail
Extensions)
• chiffrement et signature digitale (authentification et
confidentialité) des messages électroniques et
documents attachés au format MIME
• extension du standard d’interopérabilité MIME
Solutions et dispositifs de sécurisation :
Sécurité off-line

25. Copyright
Solutions et dispositifs de
sécurisation : Sécurité off-line
 PGP (Pretty Good Privacy)
• système de cryptographie hybride (clés
symétriques et asymétriques)
• les données sont compressées puis
chiffrées pour économiser l’espace
disque.
• chaque utilisateur est sa propre autorité
de certification
 XML (eXtensible Markup Language)
Signature
 XML Encryption

26. Copyright
 Protections assurées
 attaque passive
 attaque active
 usurpation (émetteur)
 répudiation (émetteur)
 protection de bout en bout
 Protections non assurées
 usurpation (récepteur)
 intrusion
 répudiation (récepteur)
Solutions et dispositifs de sécurisation :
Sécurité off-line

27. Copyright
 Principaux protocoles :
 SSL/TLS (Secured Socket Layer/ Transport Layer
Security)
 SSH (Secured SHell)
 Protections assurées
 attaque passive
 attaque active
 usurpation
 Intrusion
 Protections non assurées
 répudiation
 protection de bout en bout
Solutions et dispositifs de sécurisation :
Sécurité de transport

28. La Sécurité des
Systèmes
d’Information
Politique de Sécurité des Systèmes
d’Information (PSSI)

29. Copyright
Définition
Ensemble formalisé dans un document applicable, des
directives, procédures, codes de conduite, règles
organisationnelles et techniques, ayant pour objectif la
protection des systèmes d’information de l’organisme.

30. Copyright
Principales étapes
 Audit
 Elaboration des règles
 Surveillance
 Actions

31. Copyright
Audit
 Identifier / Classer les risques et leurs
menaces:
 Quels sont les risques ?
 Quelle en est la probabilité ?
 Quels sont leurs impacts ?
 Identifier les besoins :
 État des lieux du SI

32. Copyright
Les risques
 Répertoriés les risques encourus
 Estimer leur probabilité:
 Faible: menace peu de chance de se
produire
 Moyenne: la menace est réelle
 Haute: la menace a de très grande chance
de se produire
 Etudier leur impact (coût des dommages)

33. Copyright
Elaboration de règles
 Règles et procédures pour répondre aux
risques
 Allouer les moyens nécessaires

34. Copyright
Surveillance
 Détecter les vulnérabilités du SI
 Se tenir informé des failles
 Etre réactifs …

35. Copyright
Les Cibles des Failles de la
Sécurité
 R&D
 Services financiers
 Marketing
 Réseaux de vente (! Distributeurs et clients trop bavards)
 Le service achat
 Le Personnel: sensibiliser l’ensemble
du personnel, attention aux licenciés,
mécontents …

36. Copyright
Actions
 Définir les actions à entreprendre
 Et les personnes à contacter en cas de
menace

37. Copyright
Actions
 Simples à mettre en œuvre et pourtant
pas toujours existantes !
 Entrées et sorties contrôlées
 Surveiller et piéger les BD dans
entreprise
 Méfiance au téléphone …

38. Copyright
Acteurs & Rôles
Pourquoi ?
Quoi
Qui ? Quand ?
Comment ?
Direction Générale
Responsable SSI
Responsable Fonctionnel
Responsable Projet
CHARTES
REGLES GENERALES
PROCESSUS & CONTROLES
PROCEDURES OPTIONNELLES

39. Copyright
Thèmes
 Classification et contrôle du patrimoine matériel et immatériel
 Rôle des personnes
 Protection des locaux et équipements
 Contrôle des accès et gestion des habilitations
 Gestion des communications et des opérations
 Développement et maintenance des systèmes d’information
 Continuité des activités
 Obligations légales

40. Copyright
Réussite PSSI
 Etre simple et réaliste pour que tout le monde la
comprenne et puisse la respecter
 Faire vivre

41. Copyright
Stratégie
 PSSI doit faire partie intégrante de la stratégie
de la société :
 défaut de sécurité coûte cher !
 Inclure une notion générale de la sécurité
reposant sur 4 points:
 Protection des applicatifs aux métiers du SI
qualifiés de sensible
 Diminution des vulnérabilités
 Sécurité proprement dite du SI
 Continuité en cas de sinistre

42. Copyright
Normes et Méthodes
 Normes = bonnes pratiques
 Méthodes = évaluation globale du SI en terme
de:
 Risques
 Protection

43. Copyright
Normes
 ISO 27 001:
 Approche processus (PDCA)
 133 mesures base dans l’élaboration
du plan
 ISO 17 799: découpage par thèmes

44. Copyright
Méthodes
 Démarche structurée
 Obtenir une partie des éléments stratégiques

45. Copyright
Méthodes
 Cobit: Control Objectives for Business and
related Techonology
 Ebios: Expression des besoins et identification
et des objectifs de sécurité
 Marion
 Mehari: Méthode harmonisée d’analyse des
risques

46. Copyright
Ebios
 Etude du contexte: éléments essentiels
(ensemble d’entités de différents types)
 Expression des besoins: critères de sécurité 
impact
 Etude des menaces: type/cause
 Expression des objectifs de sécurité
 Détermination des exigences de sécurité

47. Copyright
ISMS (Information Security Management
System)
 Application au domaine de la sécurité
informatique de la roue de Deming
Planifier Faire
Vérifier
(Ré)Agir

48. Copyright
ISMS (Information Security Management
System)
 Planifier: passer d’une posture réactive à
proactive
 Faire: développer des processus en suivant un
référentiel de sécurité
 Contrôler: audits et tests d’intrusion
 Agir: analyse des risques des besoins et enjeux

49. Copyright
Cadre juridique
 Loi Sarbannes-Oxley
 Loi des libertés personnelles