Le document traite des enjeux de la sécurité informatique, soulignant que plus de 90% des entreprises investissent dans ce domaine malgré une augmentation des cyberattaques. Il explore l'évolution de la sécurité des systèmes d'information, les menaces actuelles, ainsi que les techniques et processus de sécurisation recommandés pour protéger les données. Enfin, il insiste sur l'importance de sensibiliser les collaborateurs aux risques et aux comportements à adopter pour sécuriser les informations.

2. PLAN
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion

3. Plus de 90% des entreprises ont consacré un budget
à la sécurité informatique malgré la crise.
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
INTRODUCTION
3
source : cabinet pierre Audoin consultants 2012
90%

4. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
INTRODUCTION
4
source : Kaspersky Lab
Et pourtant… les attaques informatiques se
multiplient.
52% des entreprises ont signalé une augmentation
du nombre d’attaques informatiques auxquelles
elles ont du faire face en 2012. 52%
• Les clients et utilisateurs ont changé de comportements.
• Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis
dans le domaine de la sécurité)
• La sécurité est un grand enjeu pour les prochaine années.

5. 1980 :
Tout est
fichier
1990 : Tout
est
document
1995 : Sur le
réseau
(Internet)
2000 : Tout est
programme
2010 :
L’architecture
est un
programme
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Un peu d’histoire
5

6. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Enjeux de la sécurité des
SI
6
Disponibilité Intégrité
Confidentialité Auditabilité
Sécurité
Informatique

7. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menaces
explosion des menaces
7
< />
!
Source : ponemon institut 2013
92%
des entreprises du Forbes 2000 ont
été victimes d'incidents,
Les applications concentrent
90%
des vulnérabilités.
Pourtant 80% des budgets
sécurité sont consacrés aux
,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures.
3.61 $
par ligne de code.
C'est le coût de la non
qualité/sécurité dans
un développement
99%
des applications Web
sont vulnérables,
Une application contient
13
failles en moyenne,

8. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menaces
Les motivations pour les attaques
8
Hacktivisme Gains Financiers Déstabilisation entre
états
Obtention de
capacité d'attaque
.Interruption du service
.Messages idéologiques
.Divulgation
.Vol de carte de crédit
.Vol de données
personnelles
.Vol de données
d'entreprise
.Destruction logique
et/ou physique
.Vol de données
stratégiques
.Vol de mécanisme
d'authentification /
certificats
.Vol de codes sources

9. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menaces
Types de menaces
9
Catégories Méthodes Caractéristiques
Virus/ver Diffusion via messagerie, duplication
illimitée (ver ou activation humaine
(virus)
Destruction de ressource et contamination
croisée
Déni de Service Saturation d'un serveur par envoi d'un
flot de messages
Paralysie et arrêt des serveurs
Cheval de Troie
(Back Door)
Programme introduit discrètement par
un logiciel, une consultation de page
Prise de contrôle à distance d'une machine
Attaque DNS Emploi d'une adresse DNS correcte à but
frauduleux
Prise de contrôle d'applications
IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau
privé
• Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée.
• Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes

10. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Techniques de sécurité
10
Internaute
Sécuriser les opérations et les listes :
Des solutions existent, mais il faut les utiliser
Sécurité
individuelle
Sécurité
passive
Sécurité
active
Sécurité
globale
Sécurité du poste de travail
Antivirus,-spam, spyware,
Firewall personnel
Sécurité globale "portique"
Firewall, Proxy
Sécurité individuelle
Authentification, cryptage SSL,
S/MIME,SET
Sécurité du centre de calcul
Périmètre , Antivirus, Filtrage de contenu,
Droits et identités
Serveur

11. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
11
Confidentialité des données
pour éviter les indiscrets et
espions
un tiers peut lire le message chiffrage des messages
Intégrité des données pour
éviter les vandales et pirates
un tiers intercepte et modifie le message
calcul de l'empreinte des
messages signatures
électroniques)
Identité des interlocuteurs
pour éviter les imposteurs
un tiers se fait passer par le client
Echange des certificats entre
client et serveur
Paternité des transactions
pour éviter la répudiation
des actes
un tiers se fait passer pour le serveur Mémoire historique
Droits des clients pour éviter
les usages frauduleux
annuaire
Enregistrement des droits des
utilisateurs dans un annuaire
Techniques de sécurité
Sécurité active

12. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
12
Techniques de sécurité
Sécurité active
• Chiffrage / cryptage symétrique
Message
Message crypté
Clé
Clé
Message crypté
Message

13. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
13
Techniques de sécurité
Sécurité active
• Chiffrage / cryptage asymétrique
Message
Message crypté
Clé Publique
Clé privée
Message crypté
Message

14. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
14
Techniques de sécurité
Sécurité active
• Comparaison cryptage symétrique/asymétrique
Avantages Inconvénients
Symétrique
• Rapide
• Peut être rapidement
placée dans un échange
• Difficulté de distribution
• Pas de signature
électronique
Asymétrique
• Deux clefs différentes
• Capacité d'intégrité et de
non Répudiation par
signature électronique
• Lent, algorithme complexe
• Nécessité de publication de
la clef publique

15. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
15
Techniques de sécurité
Sécurité active
Secure Socket layer
• Protocole de sécurisation des échanges sur Internet
• Permet de créer un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau interne
• utilisé lorsqu'un navigateur doit se connecter de manière
sécurisée à un serveur web.
• Les utilisateurs sont avertis de la présence de la sécurité SSL
grâce à l'affichage d'un cadenas et du protocole « https » dans
l'url

16. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
16
Techniques de sécurité
Sécurité active
• Secure socket layer
Client Serveur
Génération de la
clé de session
Requête
Cryptage de la clé de session à l’aide
de la clé publique du serveur Clé privée du
serveur
Envoi de la clé de session
cryptée au serveur
Clé publique du
serveur
Décryptage

17. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
17
Techniques de sécurité
Sécurité Passive : Les pare-feu
Internet Intranet
Serveur
HTTP
+
SGBD
Firewall
Contrôle
les accès
entrants
Firewall
Contrôle
les accès
entrants et
sortants
Serveur
HTTP
Serveur
Mail
Serveur
Proxy
DMZ
Zone démilitarisée
Externe Interne

18. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
18
Techniques de sécurité
Sécurité Passive : VPN
• Principe de fonctionnement d’un réseau privé virtuel

19. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
19
Techniques de sécurité
Techniques et technologies de sécurisation
• Schéma récapitulatif
TECHNIQUES TECHNOLOGIES
Design Security
Pattern
(conception de
framework de
sécurité)
Modélisation des
attaques (threat
modeling)
Méthodologie de
développement
sécurisé
Formation de
développeurs
Contrôle régulier
des applications
Vérification des
traces applicatives
Contrôle
qualité
Test
d'intrusion
Revue de
code
API
Framework de
sécurité
Bugtracker
Firewall NG
Mitigation
d'attaques
DOS
Sandboxing
Virtual
patching
IPS
WAF
Fuzzer
Scanner de
vulnérabilités
Scanner
passif
SIEM
Analyseur
comportemental
d'application
Scanner automatisé de
vulnérabilités
Analyseur statique
de code
Analyseur
dynamique de
code

20. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
20
Processus de sécurisation
• Architecture globale de sécurité

21. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
21
Processus de sécurisation
• Surveiller et
vérifier l'efficacité
de la sécurité en
place
• Analyser et
améliorer la
sécurité
• Mise en place des
mesures de
sécurité
• Identifier les
risques et élaborer
les objectifs à
atteindre en
termes de sécurité
Plan Do
CheckAct

22. I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
22
Conclusion
• Aider les collaborateurs d’une entreprise à comprendre :
 La valeur des actifs tangibles et intangibles, en particulier de
l’information, qu’ils manipulent dans l’exercice quotidien de leur
quotidien
 Les risques auxquels ils sont exposés et auxquels ils exposent les
autres
 Les mesures appliquées par l’entreprise et celles qu’on leur demande
d’appliquer pour réduire ces risques
 Les comportements déconseillés ou interdits

23. Merci pour votre attention
Protégez vos données