SECURITE DU SYSTEME D’INFORMATION (SSI) Institut Supérieur de Comptabilité et d’Administration...

SECURITE DU SYSTEME D’INFORMATION (SSI)

Institut Supérieur de Comptabilité

et d’Administration des Entreprises

2009-20103ième IAG

Plan du cours

• Chapitre 1– Introduction à la sécurité• Chapitre 2– Les risque et les menaces

informatique • Chapitre 3– la protection informatique

– Sécurité physique du système informatique.– Sécurité logique du système d’information.– Sécurité des systèmes d’exploitation.

• Chapitre 4 – les solutions de sécurité pour les réseaux d’entreprise

• Chapitre 5 – Introduction à la cryptographie

2

Plan des TP

• Voir concrètement quelques attaques informatiques pour la prise de contrôle à distance de l’ordinateur victime.

• Explorer les techniques de capture et de déduction des mots de passes et étudier la robustesse des mots de passe face à l’ingénierie sociale.

• Étudier les failles exploitables par les pirates.• Implémenter les mécanismes nécessaires pour la

sécurisation d’un système informatique d’une entreprise.• Cryptage des données (chiffrement et déchiffrement des

données).

3

CHAPITRE 1 Introduction à la sécurité

Informatique

4

Remarque

– Les outils mis à disposition ne doivent être utilisés qu’à des fins de tests et pour augmenter la sécurité de réseau cible;

– Il est illégale de les mettre en œuvre pour modifier, ajouter, supprimer ou prendre connaissance d’informations non déclarées comme publiques;

5

La sécurité absolue n’existe pas

On ne peut jamais être sûr d’être parfaitement en sécurité, d’avoir réglé tous les problèmes de sécurité. Tout ce qu’on peut faire, c’est 1- améliorer notre sécurité par rapport à ce qu’elle était avant ou 2- nous comparer et nous trouver mieux ou moins bien en sécurité que quelqu’un d’autre.

Il y a toujours un élément de comparaison.

Par conséquent, votre travail ne peut consister à exiger la sécurité absolue. Il consiste plutôt à :

1- Vous assurer que toutes les précautions raisonnables ont été prises pour optimiser la protection des renseignements personnels confiés à l’État.2- Et, la sécurité étant une chose dynamique qui évolue dans le temps, votre tâche consiste aussi à évaluer les processus mis en place pour entretenir la sécurité à long terme. 6

La sécurité absolue n’existe pas

• La sécurité absolue n’existe pas essentiellement parce que nous sommes à la merci de la conjoncture. Le temps qui passe apporte le changement et, en matière de sécurité, le changement se traduit souvent par l’apparition ou la découverte de nouvelles sources de risques.

• Mais la sécurité absolue n’existe pas pour une autre raison beaucoup plus concrète: c’est que les ressources que nous pouvons lui consacrer sont limitées.

7

8

D’où la nécessité d’évaluer l’opportunité d’investir

• En fonction de l’importance des données à protéger;

• En fonction de la probabilité d’une fuite.

9

Systèmes d’information :

• L’information se présente sous trois formes : les données, les connaissances et les messages.

• On désigne par « système d’information » l’ensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre l’information.

10

Notionde Système d'Information

• Une entreprise crée de la valeur en traitant de l'information, en particulier dans le cas des sociétés de service.

• Ainsi, l'information possède une valeur d'autant plus grande qu'elle contribue à l'atteinte des objectifs de l' entreprise.

• Un système d'Information (noté SI) représente l'ensemble des éléments participant à la gestion, au traitement, au transport et à la diffusion de l'information au sein de l'entreprise.

11

Le Système d'InformationTrès concrètement le périmètre du terme Système d'Information peut

être très différent d'une organisation à une autre et peut recouvrir selon les cas tout ou partie des éléments suivants :

• Bases de données de l'entreprise,• Progiciel de gestion intégré (ERP - Entreprise Ressources

Planning),• Outil de gestion de la relation client (CRM – Customer Relationship

Management),• Outil de gestion de la chaîne logistique (SCM – Supply Chain

Management),• Applications métiers,• Infrastructure réseau,• Serveurs de données et systèmes de stockage,• Serveurs d'application,• Dispositifs de sécurité.

12

Valeur et propriétés d’une information

• On ne protège bien que ce à quoi on tient, c’est-à-dire ce à quoi on associe «une valeur ».

• La disponibilité, confidentialité, intégrité,et l’authentification déterminent la valeur d’une information. La sécurité des systèmes d’information (SSI) a pour but de garantir la valeur des informations qu’on utilise, si cette garantie n’est plus assurée, on dit que le système d’information a été altéré (corrupted).

13

La sécurité des systèmes d’information SSI

SécuritéLe concept de sécurité des systèmes d’information recouvre

un ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système d’information afin d’assurer :

• la disponibilité des services : les services (ordinateurs, réseaux, périphériques, applications…) et les informations (données, fichiers…) doivent être accessibles aux personnes autorisées quand elles en ont besoin.

• l’intégrité des systèmes : les services et les informations (fichiers, messages…) ne peuvent être modifiés que par les personnes autorisées (administrateurs, propriétaires…).

• la non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

• la confidentialité des informations : les informations n’appartiennent pas à tout le monde , seuls peuvent y accéder ceux qui en ont le droit.

• l’authentification des utilisateurs du système14

Quand l’information est-elle sensible?

• Quand de réels renseignements sont en cause;

• Quand leur divulgation peut porter préjudice aux personnes concernées, même théoriquement;

15

Comment évaluer la probabilité d’une atteinte?

• Se méfier des effets déformants de l’inconnu;

• Moins on a l’impression d’être en contrôle de la situation, plus on a tendance à exagérer le risque.

• On doit donc s’employer à dissiper l’inconnu et à garder la tête froide.

16

Quelques statistiques

• Après un test de 12 000 hôtes du département de la défense américaine, on retient que 1 à 3% des hôtes ont des ouvertures exploitables et que 88% peuvent être pénétrés par les relations de confiance.

• Enfin, le nombre de voleurs d’informations a augmenté de 250% en 5 ans,

• 99% des grandes entreprises rapportent au moins un incident majeur

• les fraudes informatiques et de télécommunication ont totalisés 10 milliards de dollars pour seuls les Etats- Unis.

• 1290 des plus grandes entreprises rapportent une intrusion dans leur réseau interne et 2/3 d’entre elles à cause de virus.

17