Sécurité des systèmes informatiques

Chapitre 1
Introduction à la sécurité informatique
1

1
 Système d’information : ensemble des moyens nécessaires pour acquérir, stocker,
exploiter . . . des informations

Système informatique : un des moyens techniques pour faire fonctionner un

système d’information

➥ Pour assurer la sécurité d’un système d’information, il faut assurer la sécurité

du système informatique.

Sécurité informatique : ensemble des moyens mis en oeuvre pour minimiser la

vulnérabilité d’un système informatique contre des menaces

2
Menaces passives : consistent à écouter ou copier des informations de manière
illicite
Des menaces actives : consistent à altérer des informations ou le bon
fonctionnement d’un service

Menaces dues aux accidents : (<30% des causes) incendies, inondations, pannes
d’équipements, catastrophes naturelles. . .
Menaces dues à la malveillance : (>60%,
en croissance, souvent d’origine interne)
vols d’équipements, copies illicites,
sabotage matériel, attaques logiques,
intrusion et écoute, actes de vengeance. . .

3
 Sommaire
• Définitions et objectifs
• Principes fondamentaux
• Risque
• Méthodologie

Définitions et objectifs
• Sécurité informatique
– Sécurité des systèmes d’information et des réseaux
– Techniques, méthodes et outils de protection des
systèmes, de l’information et des services contre les
menaces accidentelles et délibérées.
– Exemples d’apport de la sécurité informatique :
• Éviter l’utilisation d’un serveur de production pour servir de
serveur de fichiers sur Internet
• Éviter la divulgation des informations financières confidentielles
• Éviter une interruption de service causée par un désastre/sinistre
• Éviter la modification non autorisée d’une entrée dans une base
de données
• Éviter une destruction accidentelle de fichiers

2
Définitions et objectifs
• Sécurité informatique
– Objectifs principaux :
• Assurer la
Confidentialité
• Assurer l’Intégrité
• Assurer la
Disponibilité
– Principe de CIA
• Confidentiality,
Integrity, Availability

Définitions et objectifs
• Confidentialité de l’information
– L’information n’est accessible qu’à ceux qui
en ont le droit

Database

– Peut changer avec le temps

– Jeu des intérêts : publics et
privés, vie privée
6

3
 Définitions et objectifs

• Intégrité des services et de l’information

– Les services et l’information ne peuvent être
modifiés que par les individus autorisés
(administrateurs, propriétaires, etc.).

Database

– Objectifs : exactitude, précision, autorisation

de modification, cohérence
7

Définitions et objectifs
• Disponibilité des services et de l’information
– Les services et l’information ne sont accessibles
qu’aux personnes autorisées et quand elles en
ont besoin.

Database

– Doit tenir compte

• des besoins et spécifications
• des contraintes (temps, qualité, performance)
8

4
Définitions et objectifs
• Sécurité informatique
– Autres objectifs :
• L’authentification : entité, l’origine de
l’information, opération sur l’information
• L’autorisation : à faire quoi, à accéder à
quoi…
• La non-répudiation : ne pas être en mesure de
nier ses actes
• La journalisation : répertorier tout accès, toute
modification, etc.

Définitions et objectifs
• Sécurité informatique
– Du concret dans une organisation
• Protéger sa réputation
• Assurer la continuité de ses activités
• Protéger ses données stratégiques et ses
propriétés intellectuelles
• Protéger les données privées de ses employés et
de sa clientèle
• Se prémunir de la fraude
• Satisfaire aux exigences légales
• Éviter des pertes financières
10

5
 Principes fondamentaux
• Principe du point le plus faible

– Une personne qui cherche à pénétrer un

système utilisera tous les moyens possibles
pour le faire, mais pas nécessairement le moyen le
plus évident ou celui bénéficiant de la défense la
plus solide

11

Principes fondamentaux

• Principe de la protection adéquate (gestion

du risque)
– Le niveau et le coût de la protection doivent
correspondre à l’importance et à la valeur de ce
qu’on veut protéger

– La durée de la protection doit correspondre à la

période pendant laquelle l’importance et la
valeur sont présentes, et pas plus
12

6
 Risque
• Définition
– C’est la prise en compte de l’exposition à un
danger, une préjudice ou tout autre évènement
dommageable.
– Le risque est inhérent à une situation ou à une
activité : il est donc impossible de l’éliminer
– Traitement du risque :
• Réduction
• Transfert
• Acceptation
• Arrêt de l’activité
13

Risque
• Terminologie autour du risque (1/2)
– Actif : Objet ayant de la valeur (y compris,
l’humain)
• Serveur de production
– Menace : Entité physique ou morale qui met un
actif à risque
• Virus
– Vulnérabilité : Faille qui donne l’opportunité de
porter atteinte à un actif et donc de concrétiser
une menace
• Absence d’antivirus sur le serveur
14

7
 Risque
• Terminologie autour du risque (2/2)
– Impact : Perte ou dommage causé à un actif
• Perte de la base de données
– Scénario (de risque) : Exploitation d’une
vulnérabilité par une menace pour causer un
impact.
• Le virus est introduit dans le serveur pour détruire le
contenu de la base de données.
– Contre-mesure : Protection d’un actif contre
une menace
• Antivirus
15

Risque
• Quand y’a-t-il risque ?
– Si un scénario a la chance de réaliser

– Il faut que les deux conditions suivantes soient

toutes les deux réunies :
• Présence d’une vulnérabilité
• Présence d’une menace

16

8
 Risque
• Menaces (1/2)
– Actes accidentels
• Internes ou externes
• Exemples :
– Évènements hors contrôle : incendies, coupures de courant,
inondation, etc.
– Actes humains involontaires : divulgations accidentelles,
mauvaise saisie de données, erreur de frappe, difficultés
techniques
– Performance imprévue du système : erreur de conception
dans les logiciels ou matériels, erreur de fonctionnement du
matériel

17

Risque
• Menaces (2/2)
– Actes malicieux ou délibérés
• Internes ou externes
• Exemples :
– Vols de systèmes, intrusions, utilisation de codes cachés,
déni de services, ingénierie sociale, espionnage,
bombardements électroniques, sabotage, piratage,
détournements de courriels, répudiation, obtention de
données, modification non autorisée de données,
contrefaçon, usurpation et vol d’identité, habillage de sites
Web, etc.

18

9
 Risque
• Origine de la menace
– Catastrophes naturelles
– Compagnie de marketing
– Hackers
– Compétiteurs
– États étrangers
– Crime organisé
– Terrorisme
– Ceux à qui on fait confiance…

19

Risque
• Formulation du risque
– Le risque est similaire à un jeu de loterie dans
lequel vous partez perdant !
– Le calcul s’apparente donc à celui de
l’espérance de perte :
• P : Probabilité de survenue d’un incident
• I : Impact de l’incident sur l’actif
• R : Risque

R=PxI
20

10
 Risque
• Évaluation du risque
– L’impact est plus ou moins facile à évaluer car il
est sous notre contrôle
– Risques liés aux actes accidentels
• Valeurs connues pour le calcul de la Probabilité :
statistiques, actuariat, historique de catastrophes, etc.
– Risques liés aux actés malicieux ou délibérés
• Difficile d’évaluer le Risque (la Probabilité) car il ne
s’agit pas d’évènements aléatoires.
• Solution : Analyse des risques

21

Méthodologie
• Sécurité
informatique en
somme
1. Identifier la
menace
– Qui, quoi,
risque
comment
(vulnérabilités) ?
2. Évaluer les
risques
– politiques,
Probabilité,éducation des utilisateurs, etc.
impact
3. Considérer les
mesures de protection
par rapport au

– Efficacité (risque
résiduel), coût,
difficulté d’utilisation
4. Mettre en place et 11
opérer les mesures de
 Analyse de risque
• Évaluation de l’impact
– Faire le recensement et la classification des
actifs informationnels
• S’appuyer sur les propriétaires des actifs
• Exemples :
– Le directeur informatique est le propriétaire du système
VPN, des composantes Firewall
– Le directeur de la paie est le propriétaire du système
(informatique) qui gère la paie

23

Analyse de risque
• Évaluation de l’impact
– Définir une échelle d’appréciation de l’impact
• Exemple : Échelle « semi-objective »
Cote Impact
1 Faible: perte d’argent ou de données négligeable,
courte indisponibilité, effet minime sur la réputation, etc.
2 Moyen : perte d’argent significative, perte de données
peu dommageable, indisponibilité de plusieurs heures,
etc.
3 Élevé : Importante perte d’argent, perte d’un grand
volume de données, indisponibilité de plusieurs jours, etc.
4 Très élevé : perte de plusieurs centaines de milliers
(millions) de dollars, divulgation de secrets
24
d’affaires, indisponibilité indéfinie, etc.

12
 Analyse de risque
• Évaluation de l’impact
– Chiffrer des impacts en fonction
• de la classification des impacts
• de l’échelle choisie
• des processus et objectifs
d’affaires
• Exemples :
– Le vol d’une base de données de clients pourrait coûter la
réputation à la compagnie
– L’incendie d’une salle de serveurs de petite taille (un dizaine
de serveurs) pourrait coûter plus de 100k$ à la compagnie

25

Analyse de risque
• Évaluation de la probabilité
– Il est question de déterminer une valeur de la probabilité
d’observer un impact dans un scénario de risque donné
• Pour les risques accidentels
– Utilisation d’une échelle «
exacte » : données actuarielles
• Pour les risques délibérés
– Utilisation d’une échelle
semi-objective
Cote Impact
1 Faible : Probabilité
presque nulle
2 Moyen : Peu probable
3 Élevé : Probable
4 Très élevé : Très probable
26

13
 Analyse de risque
• Évaluation de la probabilité
– Dépend de l’intervenant
• Experts en sécurité, experts en systèmes,
propriétaires de systèmes, etc.
– Trois grandes composantes pour la probabilité
• Capacité
– Savoir et connaissances
– Outils et argent
– Accès au savoir et ressources humaines
• Opportunité
– Espace : avoir un accès physique
– Connectivité : existence d’un lien physique et logique
– Temps : être « là » au bon moment
27

Analyse de risque
• Évaluation de la probabilité
• Motivation
– Qui : à qui profite le crime ?
– Quoi : que va gagner le malfaiteur ?
– Combien : combien va gagner le
malfaiteur ?

– Combinaison des trois composantes

• Produit des trois ?
• Médiane des trois ?
• Min ou Max des trois ?
• Moyenne des trois ?

28

14
 Analyse de risque
• Tableau d’analyse de risque
Scénario C O M P
I R
Scénario 1 1 4 3 4
3 12
Scénario 2 3 2 1 3
2 6
Scénario 3 2 2 3 3
4 12
…
Scénario n 3 1 4 4
2 8

– Considérations dans cet exemple :

• Probabilité : maximum des trois composantes
• Attention à la consistance !
• Rappel : Calcul du risque : R =PxI
29

Analyse de risque
• Tableau d’analyse de risque Sc. 3
– Échelle LOG
4
Sc. 1

3
Sc. 2
2
Sc. n
1
Impact

Prob
1

15
2
 Analyse de risque
• Tableau d’analyse de
risque
– Interprétation de
l’échelle LOG
• Prioritairement, on doit
s’occuper de la zone rouge
– Scénarios 1 et 3
• Selon le niveau de tolérance au risque, on peut aussi
s’occuper de la zone jaune
– Scénarios n et 2
– Si on est très tolérant, on accepte tout ce qui se trouve dans
la zone jaune
– Si peu tolérant, on contrôle même ce qui se trouve dans la
zone jaune
• Le contrôle se fait à travers la mise en place de contre-
mesures
31

Analyse de risque
• Évaluation de la probabilité
– Exercice
• La compagnie ABC dispose d’un serveur Web à
travers lequel des revendeurs se connectent, à partir
de leurs propres serveurs, pour vendre des produits
aux clients. Les profits sont distribués au prorata des
ventes faites pendant une période de temps. ABC
est préoccupée par l’intégrité de ses résultats
– Quels sont les agents de menace ?
– Définir quelques scénarios de risques
– Dresser un tableau d’analyse de risques

32

16
 Analyse de risque
• Évaluation de la probabilité
– Solution
• Agents de menace
– Pirates informatiques
– Revendeur malicieux
• Scénarios de risques
– Le pirate exploite une
vulnérabilité du serveur Web
– Le pirate exploite une
vulnérabilité chez le revendeur
– Le revendeur exploite une
vulnérabilité du serveur Web
• Tableau d’analyse de risque
– Cette partie du cours est faite au
tableau

33

17
La Sécurité des
Systèmes
d’Information
Politique de Sécurité des Systèmes
d’Information (PSSI)
Définition

Ensemble formalisé dans un document

applicable, des

directives, procédures, codes de conduite,

règles

organisationnelles et techniques, ayant pour

objectif la

protection des systèmes d’information de

l’organisme.

Copyright
Principales étapes

 Audit

 Elaboration des règles

 Surveillance

 Actions

Copyright
Audit

 Identifier / Classer les risques et leurs

menaces:
 Quels sont les risques ?
 Quelle en est la probabilité ?
 Quels sont leurs impacts ?

 Identifier les besoins :

 État des lieux du SI

Copyright
Les risques

 Répertoriés les risques encourus

 Estimer leur probabilité:

 Faible:menace peu de chance de
se produire
 Moyenne: la menace est réelle
 Haute: la menace a de très grande
chance de se produire

 Etudier leur impact (coût des

dommages)

Copyright
Elaboration de règles

 Règles et procédures pour

répondre aux risques

 Allouer les moyens nécessaires

Copyright
Surveillance

 Détecter les vulnérabilités du SI

 Se tenir informé des failles

 Etre réactifs …

Copyright
Les Cibles des Failles de la
Sécurité

 R&D
 Services financiers
 Marketing
 Réseaux de vente (! Distributeurs et clients trop bavards)
 Le service achat
 Le Personnel: sensibiliser l’ensemble du
personnel, attention aux licenciés, mécontents …

Copyright
Actions

 Définir les actions à

entreprendre

 Et les personnes à contacter en

cas de menace

Copyright
Actions

 Simples à mettre en œuvre et

pourtant pas toujours existantes
!

 Entrées et sorties contrôlées

 Surveiller et piéger les BD dans entreprise
 Méfiance au téléphone …

Copyright
Acteurs & Rôles

Pourquoi ? Direction Générale

CHARTES

Responsable SSI
Quoi
REGLES GENERALES

Qui ? Quand ? Responsable Fonctionnel

PROCESSUS & CONTROLES

Comment ? Responsable Projet

PROCEDURES OPTIONNELLES

Copyright
 Thèmes
 Classification et contrôle du patrimoine ma

 Rôle des personnes

 Protection des locaux et équipements

 Contrôle des accès et gestion des habilitat

 Gestion des communications et des opérat

 Développement et maintenance des systèm

 Continuité des activités

Copyright

 Obligations légales
Réussite PSSI

 Etre simple et réaliste pour que tout

le monde la comprenne et puisse la
respecter

 Faire vivre

Copyright
Stratégie

 PSSI doit faire partie intégrante de la stratégie de

la société :
 défaut de sécurité coûte cher !

 Inclure une notion générale de la sécurité

reposant sur 4 points:
 Protection des applicatifs aux métiers du SI
qualifiés de sensible
 Diminution des vulnérabilités
 Sécurité proprement dite du SI
 Continuité en cas de sinistre

Copyright
Normes et Méthodes

 Normes = bonnes pratiques

 Méthodes = évaluation globale du SI

en terme de:
 Risques

 Protection

Copyright
Normes

 ISO 27 001:
 Approche processus (PDCA)
 133 mesures base dans l’élaboration du plan

 ISO 17 799: découpage par thèmes

Copyright
Méthodes

 Démarche structurée

 Obtenir une partie des éléments

stratégiques

Copyright
Méthodes

 Cobit: Control Objectives for Business

and related Techonology

 Ebios: Expression des besoins et

identification et des objectifs de
sécurité

 Marion

 Mehari: Méthode harmonisée

d’analyse des risques

Copyright
Ebios

 Etude du contexte: éléments

essentiels (ensemble d’entités de
différents types)

 Expression des besoins: critères de

sécurité  impact

 Etude des menaces: type/cause

 Expression des objectifs de sécurité

 Détermination des exigences de

sécurité

Copyright
ISMS (Information Security
Management System)

 Application au domaine de la sécurité

informatique de la roue de Deming

Planifier Faire

(Ré)Agir Vérifier

Copyright
ISMS (Information Security
Management System)

 Planifier: passer d’une posture

réactive à proactive

 Faire: développer des processus en

suivant un référentiel de sécurité

 Contrôler: audits et tests d’intrusion

 Agir: analyse des risques des besoins

et enjeux

Copyright
Cadre juridique

 Loi Sarbannes-Oxley

 Loi des libertés personnelles

Copyright
 Établir la sécurité

Supposons que nous avons une politique de

sécurité bien établie, un modèle d’adversaire
précis, et que nous avons utilisé des mécanismes
de sécurité pour satisfaire nos politiques :

Est-ce que le système résultant est sécuritaire?

Peut-il être attaqué avec succès?

Cette question est la plus importante en sécurité

informatique, mais aussi la plus difficile.

Dans bien des situations, les réponses sont

meilleures que « Ç’a ben l’air correct ça! », mais
n’arrivent pas à donner une conclusion définitive.
Pourquoi?
 Établir la sécurité (II)
Pourquoi il est difficile d’établir la sécurité :
Pour prouver la sécurité d’un système, nous devons avoir un modèle
mathématique nous permettant de prouver des théorèmes pour
établir que le système n’atteint jamais un état vulnérable.

Ces modèles doivent composer avec tous les adversaires inclus dans
le modèle d’adversaire.

Ceci peut causer des problèmes :

Le modèle d’adversaire est d’une trop grande généralité pour la

représentation de toutes les menaces. Il devient alors très
difficile de prouver quoi que ce soit. Le problème peut même
devenir indécidable.

Le modèle d’adversaire est trop restrictif pour que toutes les

menaces soient écartées. Un adversaire pourrait alors passer
entre les mailles.
Établir la sécurité (III)

Tout ceci est bien malheureux mais nous devons

adopter un point de vue pratique ici :

La sécurité est nécessaire.

Même si la théorie est incomplète, ceci ne veut

pas dire qu’il ne faut rien faire.

Même si la théorie est incomplète, ceci ne veut

pas dire qu’elle est inutile. Nous pouvons par
exemple nous assurer qu’un certain nombre de
menaces sont exclues et nous concentrer sur
l’analyse des autres.
IV Attaques, Techniques
de Défenses.
Inventaire des outils de
défense.

 LesFirewall. (remarques ils ne

sont pas infaillibles)
 Évaluation de vulnérabilité,
scanners.
 Systèmes de détection
d’intrusion.
 Journalisation et audit
 Perceur de mots de passe
 La cryptographie.
 Le bon sens
Survol des menaces
externes

 Attaque par connaissance.

 Attaque par négligence.
 Attaque aveugle.
Attaque par connaissance.

 Exploite:
 La mauvaise gestion des mots de passe
 La mauvaise administration des appareils (gestion
des logins, gestion de la configuration des routeurs.
Attaque par négligence.

 Exploite:
 Mauvaise information .
 Mauvaise stratégie de Mots de Passe,…
 Faiblesse des contrôles
 Faille dans les mises à jours (patchs, virus, etc.)
 Mauvais paramètres de Firewall
 …
Attaque aveugle.

 Exploite:
 Toutes les failles de l’attaque par négligence.
 Conséquence d’une mauvaise gestion du
système.