Cours securité informatique.ppt

Sécurité informatique

ISET SILIANA

Chaabani [email protected]

Chaabani Nizar Sécurité informatique 1

mailto:[email protected]

Bibliographie

Sécurité informatique, Ethical hacking, Apprendre l'attaque pour mieux se défendre. Editions ENI - Octobre 2009.

Sécurité informatique, principes et méthodes à l’usages des DSI, RSSI et administrateurs. Auteurs : Laurnt Bloch,Christophe Wolfhugel. Edition Eyrolles. 2ème edition.

Tableaux de bord de la sécurité réseau. Auteurs: Cédric Llorens Laurent Levier Denis Valois. Edition Eyrolles. 2ème edition.

Sécurité informatique et réseaux. Auteur : Solange Ghernaouti-Hélie. Edition Eyrolles. 3ème edition.

Hacking Exposed, Network Security Secrets And Solutions. Seventh Edition.

L’encyclopédie comment ça marche (2006). www.commentcamarche.net/


Système informatique et système d'information

Un système informatique est un ensemble de dispositifs (matériels et logiciels) associés, sur lesquels repose un système d'information.

Il est constitué généralement des serveurs, routeurs, pare-feu, commutateurs, imprimantes, médias (câbles, air, etc.), points d'accès, stations de travail, systèmes d'exploitation, applications, bases de données, etc.

Un système d'information est un ensemble de moyens (humains, matériels, logiciels, etc.) organisés permettant d'élaborer, de traiter, de stocker et/ou de diffuser de l'information grâce aux processus ou services.

Un système d'information est généralement délimité par un périmètre pouvant comprendre des sites, des locaux, des acteurs (partenaires, clients, employés, etc.), des équipements, des processus, des services, des applications et des bases de données.


Le Monde dans lequel on vit

L’information est partout. On la retrouve dans divers systèmes:

ordinateurs personnels (bureau et maison) serveurs de données (bases de données et serveurs web) systèmes téléphoniques (terminaux, interrupteurs, routeurs) téléphones portables (voix, image, vidéo, donnée) appareils manuels (ordinateurs portables, lecteur MP4) kiosque d’informations (données, services, Distributeurs

Automatiques de Billets) cartes à puces (identification, autorisation, monnaie

électronique) systèmes incorporés (voiture, appareils domestiques) bien d’autres systèmes ...


Le Monde dans lequel on vit

Nous sommes face non seulement à une augmentation de la quantité, mais surtout de l'importance des données.

Avec le développement d'Internet, chacun a accès au réseau où de plus en plus d'informations circulent.

Exemple: les entreprises communiquent et diffusent des informations,

que ce soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations entre les employés eux-mêmes.

Le transport des données en dehors du domicile d'un particulier ou d'une entreprise mérite que l'on s'interroge sur la sécurité des transmissions pour ne pas compromettre un système d'information.


Qu’est-ce que la sécurité?

D’un premier point de vue : s’assurer que rien de “mauvais” arrive réduire les chances que quelque chose de “mauvais” se

produise minimiser l’impact des “mauvaises choses” fournir les éléments nécessaires pour se remettre des

“mauvaises choses”

D’un autre point de vue : autoriser les “bonnes choses” à arriver gestion du coût du systèmeExemples : sécurité de la maison sécurité de la voiture



Définition de base : La sécurité informatique c'est l'ensemble des moyens mis en œuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou intentionnelles.

Sécurité = “Safety”Protection de systèmes informatiques contre les accidents dus à

l'environnement, les défauts du système. Sécurité = “Security ”Protection des systèmes informatiques contre des actions

malveillantes intentionnelles. Note : Une vulnérabilité (ou faille) est une faiblesse dans un

système informatique.



En général, Le risque en terme de sécurité est caractérisé par l'équation suivante :

La menace représente le type d'action susceptible de nuire dans l'absolu.

La vulnérabilité (appelée parfois faille) représente le niveau d'exposition face à la menace dans un contexte particulier.

La contre-mesure est l'ensemble des actions mises en œuvre en prévention de la menace.

Note: Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Chaabani Nizar Sécurité informatique

8

Les attaques Tout ordinateur connecté à un réseau informatique est

potentiellement vulnérable à une attaque. Une attaque est l'exploitation d'une faille d'un système

informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du système.


Les attaques

Les motivations des attaques peuvent être de différentes sortes : obtenir un accès au système ; voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ; avoir des informations personnelles sur un utilisateur ; récupérer des données bancaires ; s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ; troubler le bon fonctionnement d'un service ; utiliser le système de l'utilisateur comme “rebond” pour une attaque ; utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel il est situé possède une bande passante élevée.


Les attaquesTypes d’ attaquesLes systèmes informatiques mettent en œuvre différentes composantes, allant de l'électricité pour alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau. Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une vulnérabilité exploitable.


Les attaques

Il est possible de catégoriser les risques de la manière suivante : Accès physique : il s'agit d'un cas où l'attaquant à accès aux locaux, éventuellement même aux machines :

o Coupure de l'électricité o Extinction manuelle de l'ordinateur o Vandalisme o Ouverture du boîtier de l'ordinateur et vol de disque dur o Ecoute du trafic sur le réseau

Interception de communications : o Vol de session (session hacking) o Usurpation d'identité o Détournement ou altération de messages

Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement d'un service. On distingue habituellement les types de déni de service suivant :

o Exploitation de faiblesses des protocoles TCP/IP o Exploitation de vulnérabilité des logiciels serveurs


Les attaques

Intrusions : o Balayage de ports o Elévation de privilèges : ce type d'attaque consiste à exploiter une

vulnérabilité d'une application en envoyant une requête spécifique, non prévue par son concepteur, ayant pour effet un comportement anormal conduisant parfois à un accès au système avec les droits de l'application. Les attaques par débordement de tampon (buffer overflow) utilisent ce principe.

o Maliciels (virus, vers et chevaux de Troie)

Ingénierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur lui-même! En effet c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une faille dans le système, en donnant des informations (mot de passe par exemple) au pirate informatique ou en exécutant une pièce jointe.

Trappes : Il s'agit d'une porte dérobée (backdoor) dissimulée dans un logiciel, permettant un accès ultérieur à son concepteur.


Les attaques

Les erreurs de programmation contenues dans les programmes sont habituellement corrigées assez rapidement par leur concepteur dès lors que la vulnérabilité a été publiée.

Il appartient aux administrateurs de se tenir informé des mises à jour des programmes qu'ils utilisent afin de limiter les risques d'attaques.

Note: Il existe un certain nombre de dispositifs (pare-feu, systèmes de détection d'intrusions, antivirus) permettant d'ajouter un niveau de sécurisation supplémentaire.

La sécurisation d'un système informatique est généralement dite “asymétrique”, dans la mesure où le pirate n'a qu'à trouver une seule vulnérabilité pour compromette le système, tandis que l'administrateur se doit de corriger toutes les failles.


Les attaquesAttaques par rebondLors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer.C'est la raison pour laquelle les pirates privilégient habituellement les attaques par rebond (par opposition aux attaques directes), consistant à attaquer une machine par l'intermédiaire d'une autre machine.L’objectif est de masquer les traces permettant de remonter à lui (telle que son adresse IP) et dans le but d'utiliser les ressources de la machine servant de rebond. Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus en plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à proximité peut l'utiliser pour lancer des attaques.


Les piratesHacker/pirateLe terme “hacker” est souvent utilisé pour désigner un pirate informatique. A l'origine ce nom désignait les programmeurs expérimentés. Il servit au cours des années 70 à décrire les révolutionnaires de l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes entreprises informatiques. C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces derniers, puis en en revendant des copies. Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes s'introduisant dans les systèmes informatiques.


Les piratesLes différents types de piratesEn réalité il existe de nombreux types d’ attaquants catégorisés selon leur expérience et selon leurs motivations : Les “white hat hackers”, hackers au sens noble du terme, dont le but est d'aider à l'amélioration des systèmes et technologies informatiques, sont généralement à l'origine des principaux protocoles et outils informatiques que nous utilisons aujourd'hui; Le courrier électronique est un des meilleurs exemples; Les “hacktivistes” (cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique.


Les pirates

Les “black hat hackers”, plus couramment appelés pirates, c'est-à-dire des personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;

o Les “script kiddies” (traduisez gamins du script) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser.

o Les “phreakers” sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de téléphoner gratuitement grâce à des circuits électroniques connectés à la ligne téléphonique dans le but d'en falsifier le fonctionnement.

o Les “carders” s'attaquent principalement aux systèmes de cartes à puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles.

o Les “crackers” sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants. Un “crack” est ainsi un programme créé exécutable chargé de modifier (patcher) le logiciel original afin d'en supprimer les protections.


Méthodologie d’une intrusionPrésentation général d’une intrusionLes hackers recherchent dans un premier temps des failles, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel d'une organisation! Note: vulnérabilité = trou de sécurité (security hole). Pour pouvoir mettre en œuvre un exploit (exploiter une vulnérabilité), la première étape du hacker consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci.Note: La plupart des attaques sont l’ œuvre de script kiddies essayant bêtement des exploits trouvés sur internet, sans aucune connaissance du système, ni des risques liés à leur acte.


Méthodologie d’une intrusion

Une fois que le hacker a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine.

Lorsqu'un accès administrateur (root) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le hacker possède alors le plus haut niveau de droit sur la machine.

La dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises.




Méthodologie d’une intrusionDéroulement d’une intrusionLa récupération d'informations sur le système: L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations:

o Adressage IPo Noms de domaine, o Protocoles de réseau et services activés, o Architecture des serveurs, etc.

Consultation de bases publiques: En connaissant l'adresse IP publique d'une des machines du réseau (ou le nom de domaine de l'organisation), un pirate est potentiellement capable de connaître l'adressage du réseau tout entier. Il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine:o http://www.iana.net o http://www.ripe.net pour l'Europe o http://www.arin.net pour les Etats-Unis

Note: La simple consultation des moteurs de recherche permet parfois de rassembler des informations sur la structure d'une entreprise.



Balayage du réseau: Lorsque la topologie du réseau est connue par le pirate, il peut le scanner, c'est-à-dire déterminer à l'aide d'un outil logiciel quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs.

L'un des outils les plus connus pour scanner un réseau est Nmap. Cet outil agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un réseau, puis il analyse les réponses.

Le repérage des failles: Il existe des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité.

Les deux principaux scanneurs de failles sont : o Nessus (http://www.tenable.com/)o SAINT (http://www.saintcorporation.com/)Chaabani Nizar Sécurité informatique

23


Intrusion: Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :

o L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe. Ceci est généralement fait en se faisant passer pour l'administrateur réseau.

o La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides.

o Les attaques par force brute (brute force cracking), consistant à essayer de façon automatique différents mots de passe sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe password, ou passwd, etc).



Extension de privilèges: Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root .

Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.

Il lui est ainsi possible d'installer un sniffeur, c'est-à-dire un logiciel capable d'écouter le trafic réseau en provenance ou à destination des machines situées sur le même brin.

Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau afin d'être à même de contrôler une plus grande partie du réseau.

Les serveurs NIS (Network Information Service) présents sur un réseau sont également des cibles de choix pour les pirates car ils regorgent d'informations sur le réseau et ses utilisateurs.



Compromission : Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.

Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de pénétrer des réseaux privilégiés auxquels la machine compromise a accès.

Porte dérobée: Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour ce faire celui-ci va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée.



Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit.

Il existe des logiciels, appelés “kits racine” (rootkits) permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système.

En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de tromper l'administrateur en lui masquant la réalité.



Exercice 1 : Qu’ils sont les objectifs d’un attaque par rebond? Exercice 2 : Expliquer les mots suivants: exploit, scanner,

sniffer, spoofing, rootkit Exercice 3 : Décrire la méthodologie d’une intrusion en

général? Exercice 4 : Donner une explication à l’ équation suivante:

Exercice 5 : Pourquoi un ordinateur connecté à un réseau peut être attaqué?

Exercice 6 : Qu’il est l’ intérêt de l’opération de balayage du réseau?


Les exploits

Un exploit est un programme informatique conçu pour l’exploitation d'une vulnérabilité.

Un exploit est spécifique à une version d'une application. On distingue deux types d'exploits :

-Augmentation des privilèges : Les exploits les plus dangereux permettent d’avoie les privilèges d'administrateur (root ) ; -Provocation d'une erreur système : Certains exploits ont pour objectif de faire planter le système. Quelques sites répertoriant les failles, leurs exploits et leurs correctifs : ohttp://www.securityfocus.com/archive/1ohttp://www.insecure.org ;

Note: La plupart du temps les exploits sont écrits en langage C ou en Perl.


Attaques cryptographiquesLes mots de passeLors de la connexion à un système informatique, celui-ci demande la plupart du temps un identifiant (login ou username) et un mot de passe (password) pour y accéder. Si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique, l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier.

o dès qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine.

o A l'aide d'outils de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés aléatoirement ou à l'aide d'un dictionnaire (éventuellement une combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la machine !

o De plus, à partir d'une machine du réseau, le pirate peut éventuellement obtenir un accès sur le réseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs côtoyant celui auquel il a obtenu un accès.


Attaques cryptographiques La plupart des systèmes sont configurés de manière à bloquer

temporairement le compte d'un utilisateur après un certain nombre de tentatives de connexion infructueuses.

En contrepartie, un pirate peut se servir de se mécanisme d'auto-défense pour bloquer l'ensemble des comptes utilisateurs afin de provoquer un déni de service.

Sur la plupart des systèmes les mots de passe sont stockés de manière chiffrée (ou cryptée) dans un fichier ou une base de données. Le pirate peut tenter de casser le mot de passe d'un utilisateur en particulier ou bien de l'ensemble des comptes utilisateurs.

On appelle “attaque par force brute” ou attaque exhaustive (brute force cracking) le cassage d'un mot de passe en testant tous les mots de passe possibles.o Il existe un grand nombre d'outils, pour chaque système d'exploitation,

permettant de réaliser ce genre d'opération. o Ces outils servent aux administrateurs système à éprouver la solidité des

mots de passe de leurs utilisateurs mais leur usage est détourné par les pirates informatiques pour s'introduire dans les systèmes informatiques.

Note: Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul même avec des machines équipées de processeurs puissants.


Attaques cryptographiques

la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification réelle (un prénom, une couleur, le nom d'un animal…). Essayant ces mots pour casser le mot de passe s’appelle une attaque par dictionnaire.

Une “attaques hybrides”, vise particulièrement les mots de passe constitué d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que mohamed12,50). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.

Il existe des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :

o Les key loggers (enregistreurs de touches), sont des logiciels qui, lorsqu'ils sont installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées permettant de retenir temporairement le mot de passe et accessibles uniquement par le système.

o L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations.

o L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate d'observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe.


Attaques cryptographiques Choix du mot de passe :Un mot de passe de 4 chiffres

correspond à 10 000 possibilités (104). On lui préfèrera un mot de passe de 4 lettres, pour lequel il existe 456972 possibilités (264). Un mot de passe mêlant chiffres et lettres, voire également des majuscules et des caractères spéciaux sera encore plus difficile à casser.

Mots de passe à éviter : o votre identifiant o votre nom o votre prénom ou celui d'un proche (conjoint, enfant, etc.) ; o un mot du dictionnaire ; o un mot à l'envers (les outils de cassage de mots de passe prennent en

compte cette possibilité) ; o un mot suivi d'un chiffre, de l'année en cours ou d'une année de

naissance (password1999). o Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne

serait pas sain d'avoir comme code de carte bancaire le même code que pour son téléphone portable et que le digicode en bas de l'immeuble.

Note : Il est conseillé de posséder plusieurs mots de passe par catégorie d'usage, en fonction de la confidentialité du secret qu'il protège (carte bancaire, messagerie…).


Attaques cryptographiques

Politique en matière de mot de passe: Toute entreprise souhaitant garantir un niveau de sécurité optimal se doit de mettre en place une réelle politique de sécurité de matière de mots de passe.

Il s'agit d'imposer aux employés le choix d'un mot de passe conforme à certaines exigences, par exemple :

o Une longueur de mot de passe minimale o La présence de caractères particuliers o Un changement de casse (minuscule et majuscules)

Il est possible de renforcer cette politique de sécurité en imposant une durée d'expiration des mots de passe, afin d'obliger les utilisateurs à modifier régulièrement leur mot de passe.

Il est recommandé aux administrateurs système d'utiliser des logiciels de cassage de mots de passe en interne sur les mots de passe de leurs utilisateurs afin d'en éprouver la solidité.


Attaques cryptographiquesAttaque man in the middleL'attaque “man in the middle” (attaque de l'homme au milieu ou MITM) est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties. La plupart des attaques de type MITM consistent à écouter le réseau à l'aide d'un outil appelé sniffer. Attaque par rejeu Les attaques par rejeu (replay attaque) sont des attaques de type MITM consistant à intercepter des paquets de données et à les retransmettre tels quel (sans aucun déchiffrement) au serveur destinataire. le pirate peut bénéficier des droits de l'utilisateur.

o Imaginons un scénario dans lequel un client transmet un nom d'utilisateur et un mot de passe chiffrés à un serveur afin de s'authentifier. Si un pirate intercepte la communication et rejoue la séquence, il obtiendra alors les mêmes droits que l'utilisateur. Si le système permet de modifier le mot de passe, il pourra même en mettre un autre, privant ainsi l'utilisateur de son accès.


Dénis de serviceIntroduction aux attaques par déni de serviceUne attaque par déni de service (Denial of Service, DoS) est un type d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent être utilisés et consultés. Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais de nuire à la réputation de sociétés ayant une présence sur internet.Le principe des attaques par déni de service consiste à envoyer des paquets IP ou des données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un état instable des machines victimes.Lorsqu'un déni de service est provoqué par plusieurs machines, on parle alors de “déni de service distribué” (Distributed Denial of Service, DDOS).

o Les attaques par déni de service distribué les plus connues sont Tribal Flood Network et Trinoo.

Pour se protéger de ce type d'attaque, il est nécessaire de mener une veille active sur les nouvelles attaques et vulnérabilités :

o http://windowsupdate.microsoft.com/ , http://www.securityfocus.com/


Dénis de serviceLa technique dite par réflexionLa technique dite “attaque par réflexion”(smurf) est basée sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un réseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer à toutes les machines présentes sur le même réseau. Le scénario d'une telle attaque est le suivant :

o la machine attaquante envoie une requête ping à un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source et en fournissant l'adresse IP d'une machine cible.

o le serveur de diffusion répercute la requête sur l'ensemble du réseau ; o toutes les machines du réseau envoient une réponse au server de

diffusion, o le serveur broadcast redirige les réponses vers la machine cible.


Dénis de service


Dénis de serviceAttaque du ping de la mortL’ “attaque du ping de la mort”(ping of death) est une des plus anciennes attaque réseau. Aucun système récent n'est vulnérable à ce type d'attaque Le principe du ping de la mort consiste tout simplement à créer un datagramme IP dont la taille totale excède la taille maximum autorisée (65536 octets). Un tel paquet envoyé à un système possédant une pile TCP/IP vulnérable, provoquera un plantage. Attaque par fragmentationUne “attaque par fragmentation”(fragment attack) est une attaque réseau par saturation(déni de service) exploitant le principe de fragmentation du protocole IP. A ce jour, les systèmes récents ne sont plus vulnérables à cette attaque

o En effet, le protocole IP est prévu pour fragmenter les paquets de taille importante en plusieurs paquets IP possédant chacun un numéro de séquence et un numéro d'identification commun. A réception des données, le destinataire réassemble les paquets grâce aux valeurs de décalage (offset) qu'ils contiennent.

o L'attaque par fragmentation la plus célèbre est l'attaque Teardrop. Le principe de l'attaque Teardrop consiste à insérer dans des paquets fragmentés des informations de décalage erronées. Ainsi, lors du réassemblage il existe des vides ou des recoupements (overlapping), pouvant provoquer une instabilité du système.


Dénis de serviceAttaque LANDL’ “attaque LAND” est une attaque réseau datant de 1997, utilisant l'usurpation d'adresse IP afin d'exploiter une faille de certaines implémentation du protocole TCP/IP dans les systèmes. Les systèmes récents ne sont aujourd'hui plus vulnérables à ce type d'attaque. Le nom de cette attaque provient du nom donné au premier code source (appelé exploit) diffusé permettant de mettre en oeuvre cette attaque : land.c. L'attaque LAND consiste ainsi à envoyer un paquet possédant la même adresse IP et le même numéro de port dans les champs source et destination des paquets IP. Dirigée contre des systèmes vulnérables, cette attaque avait pour conséquence de faire planter les systèmes ou de les conduire à des états instables. Attaque SYNL’ “attaque SYN” (pour synchronize) est une attaque par saturation (déni de service) exploitant le mécanisme de poignéee de main en trois temps (Three-ways handshake) du protocole TCP.


Dénis de service Dans une connexion TCP, le client envoie une requête

SYN(étape 1), le serveur répond par un paquet SYN/ACK (étape 2) et le client enfin valide la connexion par un paquet ACK (étape 3) .

Un client malveillant peut annuler l’ étape 3 et ne pas répondre (par le message ACK). Le serveur attend un certain temps avant de libérer les ressources qui ont été réservées pour le client (Il existe un mécanisme d'expiration permettant de rejeter les paquets au bout d'un certain délai).

Après l'étape 2, la connexion est semi-ouverte et consomme un certain nombre de ressources du côté du serveur (mémoire, temps processeur, etc.). En générant suffisamment de connexions incomplètes de ce type, il est possible de surcharger les ressources du serveur et ainsi d'empêcher le serveur d'accepter de nouvelles requêtes, avec pour résultat un déni de service.


Techniques d’attaquesL'usurpation d'adresse IPL’ “usurpation d'adresse IP” (spoofing IP) est une technique consistant à modifier l'adresse IP de l'expéditeur d'un paquet IP par l'adresse IP d'une autre machine. Cette attaque peut permettre à un pirate de faire passer des paquets sur un réseau sans que ceux-ci ne soient interceptés par le système de filtrage de paquets (pare-feu).

o un pare-feu (firewall) fonctionne la plupart du temps grâce à des règles de filtrage indiquant les adresses IP autorisées à communiquer avec les machines internes au réseau.

o Un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et sera relayé à la machine cible.


Techniques d’attaques Modification de l'en-tête TCP : les données circulent grâce

au protocole IP, qui assure l'encapsulation des données dans des structures appelées datagramme IP (paquet).

Voici la structure d'un datagramme IP:

Usurper une adresse IP revient à changer le champ source afin de simuler un datagramme provenant d'une autre adresse IP. Cependant, les paquets sont généralement transportés par le protocole TCP, qui assure une transmission dite “fiable”.


Techniques d’attaques Les liens d'approbation : Le protocole TCP permet, au

niveau des applications, de gérer les données en provenance (ou à destination) de la couche inférieure du modèle OSI (Open Systems Interconnection).

Le protocole TCP permet d'assurer le transfert des données de façon fiable grâce à un système d'accusés de réception (ACK) permettant au client et au serveur de s'assurer de la bonne réception mutuelle des données.

Les datagrammes IP encapsulent des paquets TCP dont voici la structure :


Techniques d’attaques Lors de l'émission d'un paquet, une séquence (numéro

d'ordre) est associé, et un échange de paquets contenant des champs particuliers (drapeaux) permet de synchroniser le client et le serveur.


Techniques d’attaques Ce dialogue permet d'initier la connexion, il se déroule en

trois temps: o Dans une première étape, le client transmet un segment dont le drapeau

SYN est à 1, avec un numéro d'ordre N. o Dans une deuxième étape, le serveur envoie au client un segment dont

le drapeau ACK est non nul et le drapeau SYN est à 1 (synchronisation). Le champ le plus important de ce segment est le champ ACK qui contient le numéro d'ordre initial du client, incrémenté de 1.

o Enfin, le client envoie au serveur un segment dont le drapeau ACK est non nul, et dont le drapeau SYN est à zéro (pas de synchronisation). Son numéro d'ordre est incrémenté et le numéro d'accusé de réception (ACK) représente le numéro de séquence initial du serveur incrémenté de 1.

Annihiler la machine spoofée : Dans le cadre d'une attaque par usurpation d'adresse IP, la machine spoofée va répondre avec un paquet TCP dont le drapeau RST (reset) est non nul, ce qui mettra fin à la connexion.


Techniques d’attaques Le hacker n'a aucune information des réponses de la machine

cible qui vont vers une autre machine du réseau (blind attack).

Ainsi, la machine spoofée prive le pirate de toute tentative de connexion, car elle envoie systématiquement un drapeau RST à la machine cible. Le travail du hacker consiste alors à invalider la machine spoofée en la rendant injoignable pendant toute la durée de l'attaque.


Techniques d’attaques Prédire les numéros de séquence: Une fois la machine

spoofée est invalidée, la machine cible attend un paquet contenant le ACK et le bon numéro de séquence. Tout le travail de l’attaquant consiste à “deviner” le numéro de séquence (du serveur).

Pour cela, généralement les pirates utilisent le champ option de l'en-tête IP afin d'indiquer une route de retour spécifique pour le paquet. Grâce au sniffing, le pirate sera à même de lire le contenu des trames de retour...

En connaissant le dernier numéro de séquence émis (par le serveur), l’attaquant établit des statistiques concernant son incrémentation et envoie des message ACK jusqu'à obtenir le bon numéro de séquence.


Techniques d’attaquesDétournement de session (TCP session hijacking)Le vol de session TCP : C’ est une technique consistant à intercepter une session TCP initiée entre deux machine afin de la détourner.

o L’ authentification s'effectue uniquement à l'ouverture de la session, un attaquant réussissant cette attaque parvient à prendre possession de la connexion pendant toute la durée de la session.

Source-routing : La technique de détournement initiale consistait à utiliser l'option source routing du protocole IP. Cette option permettait de préciser le chemin à suivre pour les paquets IP, à l'aide d'une série d'adresses IP indiquant les routeurs à utiliser.

o Le pirate peut indiquer un chemin de retour pour les paquets vers un routeur sous son contrôle.

Attaque à l'aveugle : Lorsque le source-routing est désactivé, une deuxième méthode consiste à envoyer des paquets à l'aveugle (blind attack), sans recevoir de réponse, en essayant de deviner les numéros de séquence. Man in the middle : Situant sur le même brin réseau que les deux machines, le pirate peut écouter le réseau et de “faire taire” l'une des machines en saturant le réseau afin de prendre sa place.


Techniques d’attaquesARP poisoningCette attaque est de type man in the middle. elle consiste à exploiter une faiblesse du protocole ARP (Address Resolution Protocol) dont l'objectif est de permettre de retrouver l'adresse IP d'une machine connaissant l'adresse physique (adresse MAC) de sa carte réseau. L'objectif de l'attaque consiste à s'interposer entre deux machines du réseau et de transmettre à chacune un paquet ARP falsifié précisant que l'adresse MAC de l'autre machine a changé, l'adresse MAC fournie étant celle de l'attaquant. Ainsi, les deux machines cibles vont mettre à jour leur table dynamique appelée Cache ARP. À chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice.


Techniques d’attaquesEcoute réseauL'analyse de réseau : Un “analyseur réseau”(sniffer) est un dispositif permettant de capturer les informations qui circulent dans un réseau.

o Dans une utilisation normale les machines ignorent les paquets qui ne leur sont pas destinés. Utilisant l'interface réseau dans un mode spécifique (appelé généralement mode promiscuous) il est possible d'écouter tout le trafic passant par un adaptateur réseau (une carte réseau ethernet, une carte réseau sans fil, etc.).

Utilisation du sniffer : Un sniffer est un outil permettant d'étudier le trafic d'un réseau.

o Généralement il sert aux administrateurs pour diagnostiquer les problèmes sur leur réseau ainsi que pour connaître le trafic qui y circule.

Comme tous les outils d'administration, le sniffer peut également servir à un attaquant ayant un accès physique au réseau pour collecter des informations.

o Ce risque est plus important sur les réseaux sans fils car il est difficile de confiner les ondes hertziennes dans un périmètre délimité, si bien que des personnes malveillantes peuvent écouter le trafic en étant simplement dans le voisinage. Chaabani Nizar Sécurité informatique

51

Techniques d’attaques La grande majorité des protocoles Internet font transiter les

informations en clair ( non chiffrée). o Lorsqu'un utilisateur du réseau consulte sa messagerie via le protocole

POP ou IMAP, ou bien surfe sur internet sur des sites dont l'adresse ne commence pas par HTTPS, toutes les informations envoyées ou reçues peuvent être interceptées. Des sniffers spécifiques ont été mis au point par des pirates afin de récupérer les mots de passe circulant dans le flux réseau.

Exemple de sniffer:- Wireshark- TCPdump - WinDump


Techniques d’attaquesBalayage de port (port scanning)Le balayage de ports : Un scanner est un utilitaire permettant un balayage des ports ouverts (port scanning) sur une machine donnée ou sur un réseau tout entier. Fonctionnement d'un scanner : Un scanner est capable de déterminer les ports ouverts sur un système en envoyant des requêtes successives sur les différents ports et analyse les réponses afin de déterminer lesquels sont actifs. En analysant la structure des paquets TCP/IP reçus, les

scanners évolués sont capables de déterminer le système d'exploitation de la machine distante ainsi que les versions des applications associées aux ports.


Techniques d’attaques On distingue habituellement deux méthodes : - L'acquisition active d'informations consistant à envoyer un

grand nombre de paquets possédant des en-têtes caractéristiques et la plupart du temps non conformes aux recommandations et à analyser les réponses afin de déterminer la version de l'application utilisée.

- L'acquisition passive d'informations a un fonctionnement est proche, si ce n'est qu'il consiste à analyser les champs des datagrammes IP circulant sur un réseau, à l'aide d'un sniffer. Ce type d'analyse est ainsi très difficile à détecter.

Quelque scanners:- Nessus - Nmap


Techniques d’attaquesDébordement du tampon (buffer overflow)Les attaques par “débordement de tampon” ont pour objectif l'exécution de code arbitraire par un programme en lui envoyant plus de données qu'il n'est censé en recevoir. Exemple : les programmes stockent les données

provisoirement dans une zone de la mémoire appelée tampon. certaines fonctions de lecture, telles que les fonctions strcpy() du langage C, ne gèrent pas ce type de débordement et provoquent un plantage de l'application pouvant aboutir à l'exécution du code arbitraire et ainsi donner un accès au système.

Pour se protéger de ce type d'attaque, il faut développer des applications à l'aide de langages de programmation évolués, assurant une gestion fine de la mémoire allouée ou bien à l'aide de langage de bas niveau en utilisant des bibliothèques de fonctions sécurisées (par exemple les fonctions strncpy()).


Techniques d’attaquesSpamLe terme spam signifie l'envoi massif de courrier électronique (souvent de type publicitaire) à des destinataires ne l'ayant pas sollicité et dont les adresses ont généralement été récupérées sur internet. Le but premier du spam est de faire de la publicité à moindre prix. Les spammeurs cherchent des adresses électroniques sur internet (dans les forums, sur les sites internet, dans les groupes de discussion, etc.) grâce à des logiciels, appelés robots, parcourant les différentes pages et stockant au passage dans une base de données toutes les adresses électroniques y figurant. Il ne reste ensuite au spammeur qu'à lancer une application envoyant successivement à chaque adresse le message publicitaire.


Techniques d’attaques Inconvénients : - l'espace qu'il occupe dans les boîtes aux lettres des victimes ; - la perte de temps occasionnée par le tri et la suppression des

messages non sollicités; - le caractère violant ou dégradant des textes ou images

véhiculés par ces messages, pouvant heurter la sensibilité des plus jeunes;

- la bande passante qu'il gaspille sur le réseau des réseaux. Le spam génère des coûts de gestion supplémentaires pour les

fournisseurs d'accès à internet (FAI), se répercutant sur le coût de leurs abonnements. Ce surcoût est notamment lié à :

- la mise en place des systèmes antispam; - la sensibilisation des utilisateurs; - la formation du personnel; - la consommation de ressources supplémentaires (serveurs de

filtrage, etc.).


Techniques d’attaques Il existe des dispositifs antispam permettant de repérer et de

supprimer les messages indésirables sur la base de règles évoluées. On distingue généralement deux familles de logiciels antispam :

- Les dispositifs antispam côté client : Il s'agit généralement de systèmes possédant des filtres permettant d'identifier, sur la base de règles prédéfinies ou d'un apprentissage (filtres bayésiens).

- Les dispositifs antispam côté serveur, permettant un filtrage du courrier avant remise aux destinataires. Ce type de dispositif est le meilleur car il permet de stopper le courrier non sollicité en amont et éviter l'engorgement des réseaux et des boîtes aux lettres.


Techniques d’attaques Pour éviter le spam, il est nécessaire de divulguer son adresse

électronique le moins possible et à ce titre : - Ne pas relayer les messages (blagues, etc.) invitant

l'utilisateur à transmettre le courrier au maximum de contacts possible. De telles listes sont effectivement des aubaines pour les collecteurs d'adresses. Il est éventuellement possible de faire suivre le message en s'assurant de masquer les adresses des destinataires précédents.

- Eviter au maximum de publier son adresse électronique sur des forums ou des sites internet.

- Créer une ou plusieurs “adresses-jetables” servant uniquement à s'inscrire ou s'identifier sur les sites jugés non dignes de confiance.


Techniques d’attaquesmail bombingLe mail bombing consiste à transmettre plusieurs milliers de messages identiques à une boîte aux lettres électronique afin de la saturer. oLes mails sont stockés sur un serveur de messagerie, jusqu'à ce qu'ils soient relevés par le propriétaire du compte de messagerie. Ainsi lorsque celui-ci relèvera le courrier, ce dernier mettra beaucoup trop de temps et la boîte aux lettres deviendra alors inutilisable...

Les solutions au mail bombing sont les suivantes : - Avoir plusieurs boîte aux lettres : une principale que vous ne divulguez qu'aux personnes dignes de confiance, et une à laquelle vous tenez moins, utilisée par exemple pour s'inscrire à des services en ligne sur Internet ; - Installer un logiciel antispam qui interdira la réception de plusieurs messages identiques à un intervalle de temps trop court.


Techniques d’attaques

Exercice 7 : Expliquer le fonctionnement d’un firewall. Exercice 8 : Donner la signification de chaque champ présent

dans la structure d’un datagramme IP (même question pour le paquet TCP).

Exercice 9 : Que signifie “écouter le trafic réseau”. Exercice 10 : Á quoi servent les logiciels Wireshark, Nump et

Nessus? Exercice 11: quels sont les rôles d’un sniffer et d’un scanneur?


Plan

Critères de sécurité et fonctions associées Domaine d’application de la sécurité Différentes facettes de la sécurité TP1: Tester les outils : ping, traceroute, netstast


1. Critères de sécurité et fonctions associées Les sécurité informatique doit contribuer à satisfaire les

critères (objectifs) suivant :oLa disponibilité oL’ intégrité oLa confidentialité Ils s’ajoutent à ces trois objectifs deux autres:o ceux qui permettent de prouver l’identité des entités (notion

d’authentification) oet ceux qui indiquent que des actions ou évènements ont bien

eu lieu (notions de non-répudiation, d’imputabilité voire de traçabilité).


1. Critères de sécurité et fonctions associées


Critères de sécurité

Intégrité

Confidentialité

Disponibilité

Non-répudiation

authenticité

1.1 Disponibilité La disponibilité d’ un service est la probabilité de pouvoir

mener correctement à terme une session de travail. La disponibilité des services est obtenue:- par un dimensionnement approprié et aussi une certaine

redondance;- par une gestion efficace des infrastructures. Exemple : Dans un réseau grande distance et de topologie

maillée, la disponibilité sera réalisée à condition que l’ensemble des liaison ait été correctement dimensionné et que les politiques de routage soient satisfaisantes.

Une ressource doit être assurée avec un minimum d’interruption. On parle de continuité de service.

Ainsi, un arbitrage entre le coût de la sauvegarde et celui du risque d’indisponibilité supportable par l’organisation seront établis afin que la mise en œuvre des mesures techniques soit efficace.


1.2 Intégrité Le critère d’ intégrité est lié au fait que des ressources ou

services n’ont pas été altérés ou détruit tant de façon intentionnelle qu’accidentelle.

Il est indispensable de se protéger contre la modification des données lors de leur stockage, le leur traitement ou de leur transfert.

l’intégrité de données en télécommunication relève essentiellement des problèmes liés au transfert de données, cependant elle dépond des aspects purement informatiques (logiciels, systèmes d’exploitation, environnement d’ exécution, procédures de sauvegarde, de reprise et de restauration des données).


1.3 Confidentialité La confidentialité peut être vue comme la protection des

données contre une divulgation non autorisé. Deux actions complémentaires permettent d’assurer la

confidentialité des données:- limiter leur accès par un mécanisme de contrôle d’ accès;- transformer les données par des techniques de chiffrement

pour qu’ elles deviennent inintelligibles aux personnes n’ ont pas les moyens de les déchiffrer.

Le chiffrement des données (ou cryptographie) contribue à en assurer la confidentialité des données et à en augmenter la sécurité des données lors de leur transmission ou de leur stockage.


1.4 Identification et authentification Note : Identifier le peintre présumé d’un tableau signé est une

chose, s’assurer que le tableau est authentique en est une autre (identification et authentification).

L’authentification vérifie une identité annoncée et de s’assurer de la non usurpation de l’identité d’une entité (individu, ordinateur, programme, document, etc.).

Tous les mécanisme de contrôle d’ accès logique aux ressources informatiques nécessitent de gérer l’ identification et l’ authentification.

Exemple :Je m’appelle mohamed → identification. Mon mot de passe est blabla!12345 → authentification


1.4 Non-répudiation La non-répudiation est le fait de ne pouvoir nier qu’ un

évènement (action, transaction) a eu lieu. Ce critère est liés aux notions d’ imputabilité, de traçabilité et éventuellement d’ auditabilité.

L’ imputabilité se définit par l’attribution d’un évènement à une entité déterminée (ressource, personne). L’imputabilité est associée à la notion de responsabilité.

La traçabilité a pour finalité de suivre la trace numérique laissée par la réalisation d’une action (message électronique, transaction commerciale, transfert de données…). Cette fonction comprend l’enregistrement des actions, la date de leur réalisation et leur imputation. Exemple : Trouver l’adresse IP d’un machine à partir duquel des données ont pu être envoyées (fichier log).

L’auditabilité est la capacité d’un système à garantir les informations nécessaires à une analyse d’un évènement dans le cadre de procédures de contrôle et d’audit. L’audit peut être mis en œuvre pour vérifier, contrôler, évaluer, diagnostiquer l’ état de sécurité d’un système.Chaabani Nizar Sécurité informatique

69

2. Domaine d’application de la sécurité Toute les activités informatiques sont concernées par la

sécurité d’un système d’information. Selon le domaine d’application la sécurité informatique a

plusieurs aspects :- Sécurité physique ;- sécurité de l’exploitation;- sécurité logique ;- sécurité applicative;- sécurité des communications.


2.1 Sécurité physique La sécurité physique est liée à tous les aspects liés à la

maitrise des systèmes et de l ’environnement dans lequel ils se situent.

La sécurité repose essentiellement sur:- les normes de sécurité;- la protection des sources énergétiques (alimentation, etc.);- la protection de l’environnement (incendie, température,

humidité, etc.);- la protection des accès (protection physique de équipement,

locaux de répartition, tableaux de connexion, infrastructure câblée, etc.);

- la sureté de fonctionnement et la fiabilité des matériels (composants, câbles, etc.);

- la redondance physique;- le marquage des matériels;- Le plan de maintenance préventive (test, etc.) et corrective

(pièce de rechange, etc.);- …Chaabani Nizar Sécurité informatique

71

2.2 Sécurité de l’ exploitation La sécurité de l’ exploitation concerne tout ce qui est lié au

bon fonctionnement des systèmes informatiques. La sécurité de l’ exploitation dépend fortement de son niveau

d’ industrialisation, qui est qualifié par son niveau de supervision des applications et l’automatisation des tâches.

Les points critiques de la sécurité de l’ exploitation sont les suivant:

- plan de sauvegarde;- plan de secours;- plan de continuité;- plan de tests;- inventaires réguliers et si possible dynamique;- gestion du parc informatique;- gestion des configuration et des mises à jour;- gestion des incidents et suivi jusqu’ à leur résolution;- analyse de fichiers de journalisation et de comptabilité;-…


2.3 Sécurité logique La sécurité logique fait référence à l’ élaboration de

solutions de sécurité par des logiciels contribuant au bon fonctionnement des applications et services.

La sécurité logique repose en grande partie sur des techniques de cryptographie par des procédures d’authentification, par des antivirus, des procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables et spécialement protégés et conservés dans des lieux sécurisés.

Afin de déterminer le degré de protection nécessaire aux informations manipulées, une classification des données est à réaliser afin de qualifier leur degré de sensibilité (normale, confidentielle, etc.).


2.4 Sécurité applicative La sécurité applicative comprend le développement de

solutions logicielles (ingénierie du logiciel, qualité du logiciel) ainsi que leur intégration et exécution harmonieuses dans des environnements opérationnels.

Elle s’appuie essentiellement sur l’ ensemble des facteurs suivants:

- une méthodologie de développement (respect des normes);- la robustesse des applications;- des contrôles programmés;- des jeux des tests;- des procédures de recettes;- l’ intégration de mécanisme de sécurité, d’outils d’

administration et de contrôle de qualité dans les applications;- un plan de migration des application critiques;- la validation et l’audit des programmes;- un plan d’assurance sécurité;- …


2.4 Sécurité des communications La sécurité des communications consiste à offrir à

l’utilisateur final une connectivité fiable et de qualité de bout en bout (end to end security).

Ceci implique l’ élaboration d’une infrastructure réseau sécurisée au niveau des accès, de l’acheminement , des protocoles de communication, des systèmes d’ exploitation et des équipements de télécommunications et des supports de transmission.

La sécurité des télécommunications ne peut à elle seule garantir la sécurité des transfert des données. Il est également impératif de sécuriser l’ infrastructure applicative dans laquelle s’ exécutent les applications sur les systèmes d’extrémité au niveau de l’ environnement de travail de l’utilisateur et des applications.

Le sécurité des télécommunications ne peut s’envisager sans une analyse de risque spécifique à chaque organisation en fonction de son infrastructure environnementale, humaine, organisationnelle et informatique.


3 Différentes facettes de la sécurité La sécurité informatique d’une organisation doit envisager

d’une manière globale et stratégique. Elle passe par la réalisation d’une politique de sécurité, la motivation et la formation du personnel ainsi que par l’optimisation de l’usage des technologie de l’information et des communications (TIC).

La maitrise de la sécurité est une question de gestion. La sécurité informatique passe par une gestion rigoureuse de la logistique, des ressources humaines, des systèmes informatiques, des réseaux, des locaux et de l’infrastructure environnementale et des mesures de sécurité.

Exemple : Des techniques comme ceux chiffrement ou les firewalls ne permettent pas de sécuriser un environnement à protéger s’ils ne sont pas inscrit dans une démarche de gestion de risque précise.


3.1 Diriger la sécurité diriger la sécurité correspond à la volonté de maitriser:- les risques correspondant à l’usage des technologies de

l’information;- les coûts pour se protéger des menaces;- les moyens à mettre en place pour réagir à une situation non

sollicité mettant en danger la performance du système d’information et ainsi celle de l’organisation.

La sécurité repose sur des axes complémentaires managérial, technique et juridique qui doivent être traités de manière complémentaires.

La sécurité n’est jamais acquise définitivement. La constante évolution des besoin, des systèmes, de menaces et risques rend instable toute mesure de sécurité.


3.2 Importance du juridique dans la sécurité Il est nécessaire que les responsables puissent prouver que

des mesures suffisante de protection du système d’information et des données ont été mises en œuvre afin de se protéger contre un délit de manquement à la sécurité. Il existe une obligation de moyen concernant les solutions de sécurité.

Les responsables d’ organisation doivent être attentifs à l’ égard du droit des nouvelles technologies et de s’assurer que leur système d’information est en conformité juridique.

Les enjeux juridique doivent être pris en compte dans la mise en place des mesures de sécurité, qu’ils soient relatif à la conservation des données, à la gestion de données personnelles des clients, etc.


3.3 Ethique et formation une éthique sécuritaire doit être élaborée au sein de l’

entreprise pour tous les acteurs du système d’ information; elle doit se traduire par une charte reconnue par chacun et par un engagement personnel à la respecter.

Une charte d’utilisation des ressources informatiques et des services Internet doit comprendre des clauses relatives:

- son domaine d’application- les règles d’utilisation professionnelle, rationnelle et loyale des

ressource;- les procédés de sécurité;- les condition de confidentialité;- … Des actions d’ information et de formation sur les enjeux, les

risques et les mesures préventives et dissuasives de sécurité sont nécessaires pour éduquer l’ ensemble du personnel à adopter une démarche de sécurité.

La signature de la charte de sécurité doit s’accompagner de moyens aux signataires afin qu’ils puissent la respecter.Chaabani Nizar Sécurité informatique

79

3.4 Architecture de sécurité L’architecture de sécurité correspond à l’ ensemble des

dimensions organisationnelle, juridique, humaine et technologique de la sécurité informatique à prendre en considération pour une appréhension complète de la sécurité d’une organisation.

Disposer d’ un cadre architectural permet d’ avoir un référentiel de sécurité qui facilite la réalisation opérationnelle de la sécurité ainsi que son évaluation lors d’audit.

La conception d’un système d’ information distribué et sécurisé passe impérativement par la définition préalable d’une structure conceptuelle qu’ est la l’ architecture de sécurité.


3.4 Architecture de sécurité


Dimension humaine

Ethique SensibilisationFormation DissuasionCompétence Surveillance Etc.

Dimension technique

Sécurité matérielle Sécurité logique

Sécurité environnementale Sécurité applicative Sécurité des télécomsSécurité de l’exploitation

Dimension juridique

Normes LégislationProcédures Fichiers normatifsConformité Licence logicielEtc.

Dimension politique /économique

Responsabilité ContrôleOrganisation OptimisationMythologie Maitrise des coutGestion AssuranceEvaluation Etc.

Exercice 11 : Quels sont les objectifs de la sécurité informatique?

Exercice 12 : Pourquoi la sécurité d’un réseau relève d’une problématique de gestion?

Exercice 13 : Justifier le fait qu’ on doit élaboré les mesures de sécurité d’un manière globale?

Exercice 14 : Discute la notion d’architecture de sécurité? explique comment ses différentes dimensions sont complémentaires.


Plan

Comprendre la criminalité Vulnérabilité d’ une infrastructure Internet Crime informatique et cybercriminalité Attaques informatiques via Internet Maitrise du risque informatique d’origine criminelle TP2: Prendre le contrôle d’ un PC à distance avec le logiciel

VNC (Implémentation d’ une porté dérobée ou Backdoor)


1. Comprendre la criminalité Trois sources de problèmes de sécurité existent :o les pannes, mes erreurs et les accidents auxquels on associe l’

incompétence ( erreur de conception, de dimensionnement, d’administration système, de programmation, d’utilisation, mise hors tension électrique d’ origine accidentelle….);

oLes catastrophe naturelle (foudre, inondation, tremblement de terre…);

oLa malveillance (vol, sabotage, destruction…) Il est nécessaire de s’ intéresser à la criminalité

informatique, à la manière dont elle s’exprime, et à ses acteurs afin de stopper les danger et intervenir le plus efficacement possible lors de la survenue d’incident.

En d’autre terme, il faut apprendre l'attaque pour mieux se défendre.


2. Vulnérabilité d’ une infrastructure Internet 1) Eléments de vulnérabilité d’une infrastructure Internet


Caractéristiques d’ Internet exploitées à des fins criminelles

Du point de vue des technologies Internet - technologie publique, ouverte- historique d’ évolution- n’ intègre pas en natif des mécanisme de sécurité- conception des technologies “best effort”- disponibilité d’ outils de gestion réseau, d’analyse de trafic, d’audit, de chiffrement- disponibilité d’ outils d’ attaque

Du point de vue des systèmes - permissivité des configurations- attractivité des systèmes (cible)- gestion inadaptée- approche parcellaire de la sécurité

Du point de vue du réseau - connectivité étendue- multiplicité, distribution des éléments constitutifs- absence de contrôle global - dimensionnement insuffisant

Caractéristiques du numérique - immatériel- virtuel- dématérialisation

Caractéristiques du système juridique- juridique multiple- paradis digitalDe point de vue des utilisateurs- différent catégories : administrateurs systèmes, webmasters, gestionnaires, concepteurs, développeurs, utilisateurs professionnels, individus, bidouilleurs, etc.- nombre important et croissant- formation et compétences variables- caractère imprévisible- comportement inadapté- éthique insuffisante- mauvaise utilisation des solution de sécurité - gestion de la sécurité défaillante

2. Vulnérabilité d’ une infrastructure Internet 2) Internet comme facteur de performance pour le monde criminelDématérialisation : - La dématérialisation des transactions, des acteurs, des échanges ainsi que l’usage par le criminel de solutions de stéganographie, de chiffrement, et d’anonymat, permettent des liaisons entre criminels sans contact physique direct (monde virtuel).- Etant immatériel, l’information numérique acquiert une double vulnérabilité relative à son contenant et son contenu (physique et logique).- La notion de donnée d’origine n’a pas de sens (comme définir un vol de donnée).Universalisation et dépendance :- La dépendance des institutions et des états aux technologique Internet, et l’ interdépendance des infrastructure critiques, introduisent un degré de vulnérabilité non négligeable dans le fonctionnement normal des organisations.


2. Vulnérabilité d’ une infrastructure Internet Disponibilité d’ outils : - La disponibilité d’outils d’ exploitation des failles des

systèmes, l’existence de bibliothèques d’attaques offrant une large gamme de logiciels malveillants capitalisant le savoir-faire criminel dans un programme, contribuent à réaliser des délits via des attaques informatiques.

- Le cyberespace, ou les actions se réalisent cachées derrière un écran et à distance, facilite pour certains le passage à l’ illégalité sans parfois de prise de conscience réelle de la dimension criminel de leurs actes.

Relative impunité :- Les criminel tirent profit de l’aterritorialité d’ Internet, de l’

inexistence dans certains Etats de lois empêchant le crime informatique et des juridictions multiple dont relève l’ Internet.

- Selon les pratiques morales et éthiques, tout ce qui est illégal off line est illégal on line.


2. Vulnérabilité d’ une infrastructure Internet3) Internet au cœur des stratégies criminellesLe crime économique n’est pas uniquement réservé à la criminalité organisée puisque les outils informatique et télécoms le mettent à la porté d’individus isolés.Internet permet la réalisation de crimes classiques (comme le blanchiment d’argent, l’enrichissement illicite, l’ incitation à la haine racial…).4) Risque d’ origine criminelle et insécurité technologiqueLa maitrise insuffisante des technologie du fait de leur complexité, la dépendance à ces technologies et l’ interdépendance des infrastructures ainsi que la réalité de la criminalité informatique, confèrent un certain degré d’ insécurité inhérent à l’ usage extensif des nouvelles technologies et des risques associés.


3. Crime informatique et cybercriminalité1) Elément de définitionCyberespace un “ensemble de données numérisées constituant un univers d’information et un milieu de communication, lié à l’interconnexion mondiale des ordinateurs” (Petit Robert). La cybercriminalité peut être déduite de celle de crime informatique, délit pour lequel un système informatique est l’ objet du délit et/ou le moyen de le réaliser. Exemple 1 : Le blanchiment d’ argent est dénommé “crime des crimes” dans la mesure ou il existe du fait d’ activités initiales illégales (argent du crime) et que les revenue générés par le blanchiment permettent de réaliser d’autre crime.Exemple 2 : Certains placement boursiers en ligne, site de e-commerce, cyber-casinos, de e-banking, comme les transactions foncier et de l’ immobilier via le net, la création de sociétés virtuelles “écran”, les portes monnaie électroniques peuvent être utilisés pour effectuer les opérations de blanchiment.


3. Crime informatique et cybercriminalité Un crime informatique (computer related crime) est un délit

pour lequel un système informatique est l’ objet du délit et/ou le moyen de l’ accomplir. C’est un crime lié aux technologie du numérique.

Le cybercrime (cybercrime) est une aspect du crime informatique qui fait appel aux technologies internet pour sa réalisation. Cela concerne tous les délits accomplis dans le cyberespace.


Cible

Acte réalisé caché derrière un écran et à distanceUbiquité du criminel dans l’ espace et dans le tempsSavoir-faire criminel embarqué dans le logiciel Commission automatisée des délits, à grande échelle

Crime informatiqueCybercrime

Système informatiqueObjet du délit et/ou moyen de réalise

un délit

3. Crime informatique et cybercriminalité2) Dimension terroriste des cyberattaquesLa dimension terroriste des cyberattaques concerne celles portant sur des systèmes impliquées dans des infrastructures critiques, essentielles au bon fonctionnement des activités d’un pays (énergie, eau, transport, logistique alimentaire, télécommunications, banque et finance, services médicaux, fonctions gouverneaux, etc.). Ces derniers voient leur vulnérabilité augmentée par un recours intense aux technologies Internet.Actuellement, la définition du cyberterrorisme n’est pas claire. Une définition simple serait de considérer le cyberterrorisme comme du terrorisme appliqué au cyberespace.“Le terrorisme fait référence à l’emploi systématique de la violence pour atteindre un but politique” (Petit Robert) .


3. Crime informatique et cybercriminalité Dans ce cadre de comprendre le concept de terrorisme

numérique, nous sommes en droit de nous demander :- De quelle façon des actes portant atteinte à l’ intégrité de

systèmes ou de données informatiques constituent une violence physique ou morale suffisamment importante pour générer la peur et constituer des moyens de pression contribuant à la réalisation d’ objectif politiques déterminés;

- Est-ce un blocage partiel ou total éventuel d’ Internet, suite à des actes de malveillance, serait susceptible de provoquer la peur , la terreur auprès de la population? Au sein de la communauté des internautes? De certains acteurs économiques particuliers?

- Ne s’ agirait-il plutôt et le plus souvent de terrorisme économique visant les entités qui réalisent des activités grâce à l’ Internet?


3. Crime informatique et cybercriminalité3) Nouvelles menacesLa sécurité intérieure d’ un pays est actuellement confrontée à des formes d’ expression de menaces criminelles liées à l’ existence des technologies de l’ information. Les technologies d’ Internet sont au centre de la guerre de l’information (infoguerre, infowar) dont les enjeux sont avant tout d’ ordre économique et les impacts importants pour le bon déroulement des activités.Internet permet non seulement le traitement de l’ information mais est aussi un outil privilégié pour répandre des rumeurs ou toute forme d’ intoxication ou de compagne de déstabilisation. Les activités d’espionnage est de renseignement par exemple sont facilitées puisqu’ il est devenu aisé d’ intercepter des informations transférées sur Internet.


4. Attaques informatiques via Internet1) Schéma et étapes de réalisation d’ une attaque


Malveillant

Bibliothèque d’attaques:- Usurpation de mots de passe- leurres- Failles technologique, de conception, de configuration, etc.

Cible

Phase de collecte d’ information Recherche de vulnérabilité Ingénierie sociale

Savoir faire et exploitation des informations recueillies et des failles

Intrusion

Extra filtration

Création /réalisation

d’ une attaque

Problèmes sécuritaires

Pertes directes Pertes indirectes

1

2

3

4

5

4. Attaques informatiques via Internet La première phase de la réalisation d’ une attaque est liées à

la collecte d’ information sur la cible et à la recherche de vulnérabilité d’ un système (phase 1).

Le malveillant s’emploie à connaître et à exploiter les failles se sécurité connues mais non encore réparées (non patchées) et à utiliser les outils d’ attaques éventuellement disponibles en ligne (phase 2) pour accéder au système cible et exécuter son action malveillante (phase 4).

La phase d’ exfiltration (phase 5) a pour buts principaux de faire en sorte que l’ attaque ne puisse être détectée et que l’ attaquant ne laisse pas de trace pouvant servir à son identification. Pour arriver à cela, il tente de rester anonyme, il peut alors utiliser des alias (pseudonymes), usurper l’ identité numérique d’ utilisateurs ou encore brouiller les pistes en passant par plusieurs systèmes intermédiaires (relais).


4. Attaques informatiques via Internet2) Attaques actives et passivesLes attaques sont généralement fondées sur l’usurpation de paramètres de connexions, de mots de passe d’ayant droit ainsi que sur le leurre et l’ exploitation de failles et vulnérabilités.Les attaques qui modifiant les données sont dites attaques actives, tandis que celles relevant de l’ écoute – interception (man in the middle) sans altération des données sont qualifiées d’ attaques passives.


Attaque passiveInterception, écoute

Attaque activeModification, fabrication, interruption,

déni de service

Disponibilité

Intégrité AuthenticitéConfidentialité

4. Attaques informatiques via Internet3) Attaque fondées sur l’ usurpation de mots de passePour posséder les mots de passe des utilisateurs, le fraudeur dispose d’ une panoplie d’ astuces:- Le mot de passe est évident à deviner (prénom de la personne, du conjoint, de ses enfants, dates de naissance, etc.).- Le mot de passe peut être volontairement communiqué par l’ utilisateur lui-même par complicité.- Le fraudeur peut leurrer (tromper) les utilisateurs, par téléphone en se faisant passer pour un administrateur réseau et demander pour des raison techniques par exemple, les paramètres de la connexion. Aussi la pèche aux informations de connexion passe par la messagerie (phishing).Note : le phishing est l’ exploitation de la messagerie pour leurrer les internautes afin de les inciter à livrer eux-mêmes, sur un site web, leurs informations sensibles (identifiants, mots de passe, numéros de compte…) qui seront ensuite exploitées à des fins malveillantes.


4. Attaques informatiques via Internet Il suffit de réaliser une écoute passive par surveillance

(sniffer) des paquets IP qui transitent sur un réseau pour connaitre des mots de passe véhiculés en clair par les protocoles de communication.

Note : Un sniffer est une entité passive et sa présence est très difficile à détecter. Pour restreindre son champ d’action, une parade envisageable consiste à segmenter le réseau.

En cas de capture de mot de passe crypté, le malveillant tentera par exemple de deviner le mot de passe en essayant toutes les permutations possibles pouvant constituer une clé pour déchiffrer le mot de passe. Il peut utiliser l’attaque en force (brute force attack) ou une attaque par dictionnaire (dictionary attack).

Pour s’approprier des mots de passe, on peut introduire dans le poste de travail de l’usager, un logiciel espion ou encore un cheval de Troie. Il s’agit d’ un petit programme qui se substitue généralement à celui qui permet d’ effectuer le login et demande à l’utilisateur son identification et son mot de passe. Le mot de passe est alors directement capturé et mémorisé par le cheval de Troie qui l’ envoi au serveur de messagerie anonyme auquel se connectera le fraudeur.


4. Attaques informatiques via Internet Les micro-ordinateurs ont pour la plupart un camera vidéo et

un microphone. Ces périphérique activés à la disposition de l’ utilisateur, comme des dispositif logique ou physique d’ espionnage permettant de surveiller et de capter de l’ information sans le consentement de l’ utilisateur (avoir les mots de passe).

Pour qu’ un système d’authentification fonctionne, il est nécessaire de sauvegarder dans un serveur, et de manière sur les mots de passe des utilisateurs. Il ne faut pas autoriser un accès anonyme sur le serveur d’ authentification, et désactiver le protocole TFTP ( Trivial File Transfer Protocol) qui permet d’avoir accès à des fichiers sans le contrôle d’ authentification.

La seul méthode d’authentification qui propose une protection réelle contre l’utilisation de mots de passe dérobés est celle fondée sur des mots de passe à usage unique (smart card).

Note 1 : Il existe des identification biométrique. Note 2 : Un utilisateur peut se voir accusé des malveillances

commises par l’ usurpateur de ses paramètres de connexion.Chaabani Nizar Sécurité informatique 99

4. Attaques informatiques via Internet4) Attaques fondées sur le leurreLa réalisation de malveillances basées sur le leurre se base sur l’ usurpation d’ identité, des paramètres de connexion, d’ adresse IP, sur des modification affectant le routage (redirection de flux de données), sur le vol de connexion TCP ou sur le détournement de flux applicatifs.Les malveillances exploitent les possibilités intrinsèques des divers protocoles de communication d’ l’ Internet. L’ exploitation frauduleuse de ces technologies est l’ expression d’ une forme d’escroquerie électronique qui permet de leurrer les systèmes et les utilisateurs.


4. Attaques informatiques via Internet5) Attaques fondées sur le détournement des technologiesUne attaque menant à un déni ou refus de service peut être réalisées en sollicitant excessivement des ressources. N’ ayant pas la capacité de traiter un tel afflux de demandes, les systèmes ciblés surchargés par un trop grand nombre de requêtes (légales), s’ effondrent et deviennent indisponibles.Exemple : Il peut s’agir d’ attaque par inondation de messages (e-mail bobming). Cela consiste à submerger la boite aux lettres électroniques d’ un utilisateur par un grand nombre de messages, ce qui entraine, outre des désagréments, des dénis de service.La majorité d’ attaques dont sont l’objet les sites web des entreprises, sont celles qui les rendent indispensable. Les cibles de ce type d’attaque sont tous les systèmes jouant un rôle important dans la réalisation des services (serveurs web, routeurs, serveurs de nom, etc.).


4. Attaques informatiques via Internet6) Attaques fondées sur la manipulation d’ informationplusieurs d’attaques consistent en une modification de la page d’ accueil d’ un site web (defacemnt attack). Les fraudeurs substituent une page de leur conception, dont le contenu est variable selon leur motivation, à une vraie page du site.Des variantes plus lucratives de ce genre d’ attaque ont pour objectif de rediriger l’ utilisateur vers un faux site, ressemblent exactement à celui auquel il s’est initialement connecté, afin de lui soustraire par exemple son numéro de carte bancaire lors d’action de phishing par exemple.Il est possible de s’attaquer à des sites d’information et de altérer le contenu de certaines pages ou dépêches pour provoquer des mouvements de panique, ou faire fluctuer le cours d’actions d’une société par exemple (infoguerre).Note : Les possibilités de manipulation des opinions sont alors sans limite et peuvent avoir des conséquences plus ou moins importantes pour les individus.


5. Maitrise du risque informatique d’origine criminelle

1) Limites des solutions de sécuritéQuelles que soient les motivations des acteurs de la criminalité informatique, celle-ci génère toujours des conséquences économiques non négligeables fragilisant les organisations. C’est à la sécurité informatique de contribuer à réduire le risque technologique encouru.Les solution de sécurité informatique sont des réponses statiques à un problème dynamique mais surtout des reposes d’ordre technologique à des problèmes humains, criminels, managériaux et légaux.La diversification des éléments matériels, logiciels, réseaux et des acteurs impliquée comme l’ inexpérience et l’ inconscience de certains utilisateurs, favorisent l’expression de la criminalité informatique.



2) Complexité du problème L’expertise des attaquants, la sophistication de l’efficacité des attaques, les boites à outils d’attaques ainsi que le nombre d’ attaques ne cessent de croitre.Non seulement le nombre de personnes, de system et d’organisations connectés à internet augmente, mais les infrastructures de traitement et de communication de l’information possèdent des failles intrinsèques de sécurité.Exemple : Il est illusoire de penser que des solutions d’ordre technologique ou juridique viendront suppléer les erreurs de conception et de gestion de l’informatique et des télécoms, que cela au niveau stratégique, tactique ou opérationnel.Les technologies de sécurité existent, mais elles peuvent être défaillante, induire de nouvelles failles, générer de nouveaux risques, être incohérents, avoir des implémentations complexes ou encore être contournées par des procédures parallèles.



3) Approche interdisciplinaire de la sécurité Il est impératif de concevoir et de réaliser des plans de continuité et des plans de secours qui intègrent les contraintes liées à l’ investigation et à la poursuite de la criminalité informatique. Cela se résume, à la résolution d’une problématique de ratios notamment entre les couts des mesures et les impacts des délits potentiels, et entre les délais d’intervention des investigateurs et les délais de restauration des contextes de travail. La diversité et la pluralité des acteurs (ingénieurs, développeurs, auditeurs, intégrateurs, juristes, investigateurs, clients , fournisseur, utilisateurs, etc.), la diversité d’ intérêts de visions, d’environnements, de langages rendent difficile la cohérence globale des mesures se sécurité.Seules une appréhension globale et systématique des acteurs et intervenants pourraient contribuer à offrir le niveau de sécurité attendu.



4) Lutte contre la cybercriminalité et respect de l’ intimité numériquesLes outils de lutte contre la criminalité informatique peuvent potentiellement mettre à mal les droits de l’Homme et aller à l’ encontre de la confidentialité des données personnelles.Exemple: la sécurité passe par la surveillance, le contrôle et le filtrage des communications. Toutefois, des garde-fous doivent être mis en place pour éviter des abus de pouvoir , de situation dominante et toutes sortes de dérives totalitaires afin de garantir le respect des droits fondamentaux, notamment celui du respect de l’ intimité (numérique) et de la confidentialité des données à caractère personnel.



5) Typologie des comportements des organisations face au risque informatique d’ origine criminelleChiffre noir de la cybercriminalité : le manque de statistiques officielles trouve largement ses origines par le fait que les organisations :- Ne souhaitent pas forcement communiquer le fait qu’elles sont ou ont été victimes d’in acte cybercriminel; ce qui révèlerait leur vulnérabilité technologique ou défaillance sécuritaire;- Ignorent qu’ elles sont victimes d’ une malveillance,- Ne savent pas gérer une situation de crise,- …Culture de la sécurité : il faut distinguer les organisation qui possèdent une culture de la sécurité et qui se sont dotées de moyens financiers, organisationnels, humains et technologique pour gérer la sécurité de leur système d’information, de celles qui ne l’ont pas.



Nuisance liées au spam, Virus, Phishing : On constate une augmentation des programmes malveilants ou indésirables s’ exécutant à l’insu de l’utilisateur. Il s’agit de télécharger et implanteur (downloader), keyloggers, bot-rebots, de logiciels publicitaires (adware, advertising softaware) ou de logiciel espion (spyware, spying software).

Intrusion des systèmes : l’intrusion des systèmes peut conduire par exemple à l’espionnage, à l’installation de programme malveillants, à la prise de contrôle des systèmes, à la falsification de site web, au vol de données, à des dénis de service.

Les responsables sécurité s’attachera à limiter la propagation d’une attaque (en déconnectant du réseau la machine ou les machines atteints), à réduire les impacts de l’attaque et à réparer les atteintes ou dégâts engendrés. Eventuellement, il cherchera à comprendre l’incident et à en identifier l’origine.

Chantage : les alternatives offertes aux organisations sont les suivantes:

- ignorer la demande;- signifier que l’entreprise possède des moyens d’identifier le

malveillant;- payer la rançon demandée;- dénoncer aux autorités compétentes la tentative de racket,

etc.



6) Pour une approche complémentaire de la maîtrise de la criminalité et de la sécuritéPrise en conscience internationale, sujet de débats politique et juridique mais aussi sujet d’études technologique, sociologique et économique, la cybercriminalité touche les individus , les organisations et les états.Sa maîtrise ne peut donc se réduire à son appréhension selon une seule dimension, qu’elle soit légale ou technique, au détriment de toutes les autres. Seule une approche interdisciplinaire du phénomène pourra contribuer à l’ apprécier et donc à mettre en place des mesures efficaces de prévention et de réduction.Cependant, les cyberattaques ne modifient pas le champ d’application de la sécurité informatique. Il s’agit toujours d’assurer les mêmes critères de base : la disponibilité, la confidentialité, l’ intégrité, la preuve, l’authenticité.


Exercice 15 : Pourquoi l’ouverture des systèmes d’information des organisations par le réseaux de télécommunications pose - t- elle des problèmes des sécurité?

Exercice 16 : Quelles sont les caractéristiques d’ Internet qui peuvent être exploitées à des fins criminelles?

Exercice 17 : Quels sont les évènements qui ont contribué à l’évolution de la perception de la menace cybercriminelle?

Exercice 18 : Quels sont les principaux types d’attaques réalisables via internet?

Exercice 19 : Quels sont les principaux dangers liés à la messagerie électronique en matières de cybercriminalité?

Exercice 20 : Quelles sortes de délits sont favorisées par Internet?


Plan

Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l’ information


1. Connaitre les risques pour les maîtriser Pour une entreprise, l’objectif de la sécurité informatique est

de garantir qu’aucune perte ne puisse mettre en danger son développement.

Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’ incident.

Une stratégie de sécurité est élaborée selon deux approches :- démarche proactive : avoir une conduite générale de

protection et de l’organisation de la défense ;- démarche réactive : l’ élaboration de plans de réaction. La sécurité informatique s’ inscrit dans une démarche d’

intelligence économique afin de maîtriser des risques technologiques, opérationnels et informationnels.


1. Connaitre les risques pour les maîtriser Objectifs de la sécurité :


Incident

Défense

Mesures réactives

- Limiter les atteintes et les dysfonctionnements - Retour à un état normal

Protection

Mesures proactives

- Diminuer la probabilité de la survenue des menaces

INTELLIGENCE ÉCONOMIQUE

1. Connaitre les risques pour les maîtriser une démarche sécuritaire est constitué de trois phases

principales.


Stratégie d’entrepri

se

Stratégie de

sécurité

Valeurs/Analyse des risques

Risque opérationnelRisque informatique

Risque informationnelRisque technologique

Risque financierRisque d’image

Risque de réputationRisque résiduel

…Politique de sécurité

Évaluation Optimisation

Mesures de sécuritéOutils

Procédures

1

2

3

ANALYSE

MISE EN OEUVRE

CONTRÔLE ET SUIVI

1. Connaitre les risques pour les maîtriser1) Première phase : la première phase (1) consiste à connaitre les valeurs de l’organisation, leur degré de vulnérabilité en fonction de menaces et le risque de perte totales ou partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée.Il s’agit d’ élaborer une véritable stratégie de protection et de gestion de la sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu’ encoure l’organisation.La pertinence de l’analyse des risques dépendra de l’identification exacte des moyens et des mesures à mettre en ouvre pour sécuriser efficacement les ressources de l’organisation.


1. Connaitre les risques pour les maîtriser2) Deuxième phase : La phase suivante (2) consiste à choisir et à mettre en place les outils, mesures et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données.L’ optimisation de la démarche sécuritaire passe par l’ élaboration de :- la politique de sécurité pour répondre aux exigences de maitrise des risques;- la pertinence de la stratégie envers les risques encourus;- l’adaptation des solutions de sécurité aux besoins en fonction des moyens financiers dégagés;- l’adéquation de mesures les unes par rapport aux autres.3) Troisième phase : une évaluation périodique (phase 3) voir continue des mesures de sécurité en vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l’ évolution de l’ environnement dans lequel elles s’inscrivent.


1. Connaitre les risques pour les maîtriser Implémenter une stratégie de sécurité consiste à faire le

compromis les plus judicieux possible entre : - le coût des mesures de sécurité à supporter pour éviter les

risques qui pourraient affecter le patrimoine d’une entreprise, - et le coût des impacts de ces risques s’il n’y avait pas de

mesures. Pour définir une stratégie, il n’existe pas de stratégie

“recette”. Chaque organisation a son propre stratégie : contexte d’environnement informationnel, de scenario de risque, etc.

Il existe des invariants méthodologique qui simplifient l’ appréhension d’une démarche sécuritaire.

Exemple : Une organisation peut annuler la mise en œuvre d’ un dispositif de secours (backup) de son centre informatique au regard de son coût si ce coût peut s’avérer très élevé en termes de ressources à utiliser .


1. Connaitre les risques pour les maîtriser Risques et plan d’action sécurité:


Analyse de risqueÉvaluatio

n Contrôle

ValidationOptimisati

on

Politique de sécurité Pilotage

Moyens financiers, organisationnels, humains, technologique,

Mise en œuvre opérationnelle de mesures efficaces de sécurité

Maîtrise de risques

Identification des valeurs

Analyse des menaces

Identification des impacts

2. Vision stratégique de la sécurité1) FondamentauxIl faut que les solutions de sécurité informatique assurent tout ou une partie des propriétés suivantes:- La disponibilité (aucun retard) : permet l’accessibilité en continu sans dégradation, ni interruption;- L’ intégrité (aucune falsification) : maintient intégralement les données et les programmes sans altération;- La confidentialité (aucune écoute illicite) : permet de maintenir le secret de l’information et assure l’ accès aux seules entités autorisées (intimité numerique);- La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire;-La non-répudiation et l’imputabilité (aucune contestation) : garantit la connaissance de l’origine et de la destination d’ une action ainsi que l’ identification des entités responsables;- Le respect des contraintes règlementaires ou légales (aucun risque juridique);- L’authentification (pas de doute sur l’identité d’ une ressource)


2. Vision stratégique de la sécurité Identifier les valeurs d’ une organisation et exprimer leur

besoins en termes de critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au travers :

- d’outils (firewalls, antivirus, protocoles cryptographiques, …)- de procédures (mots de passe , mises à jour d’ antivirus,

mises à jour d’ un système d’exploitation, …);- de personnes (utilisateurs, administrateurs,…) Les mesures de sécurité sont identifiées, gérées et optimisées

par des procédures de gestion. Au delà de la nécessaire dimension d’ ingénierie de la sécurité, la sécurité relève avant tout d’un acte de management.

Note : réduire seulement la sécurité à sa dimension technologique, c’est assurer son échec!


2. Vision stratégique de la sécurité2) Mission de sécuritéEntamer une mission se sécurité peuvent se décliner de la manière suivante :- concevoir un plan d’ action de sécurité après une analyse préalable des risques;- identifier une politique de sécurité;- faire un arbitrage entre les besoins de sécurité, risques et coûts;- déterminer le périmètre de vulnérabilité lié à l’ usage des nouvelles technologies;- offrir de manière dynamique un niveau de protection adapté aux risques encourus;- mettre en pratique et valider les mesures, les outils et les procédures de sécurité;- faire un suivi, contrôler et faire évoluer les mesures et plan d’ action de sécurité;- enfin, optimiser la performance du système d’ information en fonction du degré de sécurité requis.Chaabani Nizar Sécurité informatique

121

2. Vision stratégique de la sécurité3) Principes de baseL’ élaboration d’une démarche sécurité repose sur des principes suivants:- Principe de vocabulaire - nécessité de s’adapter, au niveau de l’ organisation, sur un langage commun de définition de la sécurité.- Principe de volonté directoriale - les dirigeants sont responsabilité de libérer les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité informatique.- Principe financier - le budget d’ implémenter la sécurité doit être adapté vis-à-vis des objectifs de sécurité fixés.- Principe de cohérence - la sécurité d’un système est le résultat d’ une intégration harmonieuse des mécanismes, outils et procédures.- Principe de simplicité et d’ universalité - les mesures doivent être compréhensibles, simples par les utilisateurs.- Principe de dynamicité - la sécurité doit être élaborée dynamiquement pour intégrer la dimension temporelle de la vie des systèmes et l’ évolution des besoins et des risques.


2. Vision stratégique de la sécurité-Principe de continuum - l’organisation doit continuer à fonctionner même après la survenue d’ incident (procédures de gestion de crise).- Principe d’ évaluation, de contrôle et d’ adaptation - Il est très important de pouvoir évaluer durablement l’ adéquation des mesures de sécurité. Cela permet de vérifier et de contrôler que les risques sont maitrisés et d’adapter dans le besoin les solutions de sécurité.4) Conditions de succèsLes conditions de succès d’une approche sécuritaire sont :- une démarche stratégique de la sécurité- la politique de la sécurité doit être publiée- un certain degré de confiance envers les personnes, systèmes, outils impliqués;- une éthique des acteurs- des procédures de surveillance, d’ enregistrement et d’audit;- le respect des contraintes légales et juridique- …Chaabani Nizar Sécurité informatique

123

2. Vision stratégique de la sécurité5) Approche pragmatiqueAxes stratégiques, tactiques et opérationnels de la sécurité :


2. Vision stratégique de la sécurité6) BénéficesLa sécurité est à énumérer comme un facteur critique de succès d’ une organisation et non pas comme une source de coût (charge) ni un frein à la réalisation de la stratégie de l’entreprise.La sécurité n’est pas une contrainte additionnelle à intégrer dans la stratégie des entreprises mais constitue un outil de production (faisant partie des éléments fondamentaux de la stratégie de l’entreprise).Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de compétitivité assurant à une meilleur rentabilité.Considérant la sécurité comme un facteur de qualité, elle pose le problème de sa mesure et donc de la détermination des indicateurs et métriques associés.Note : la sécurité ne permet pas directement de gagner de l’ argent mais évite d’en perdre.


2. Vision stratégique de la sécurité7) Aspects économiqueLes coûts suivant contribue à estimer de manière approximative le retour sur investissement de la sécurité:- Perte ou baisses de productivité consécutives aux problèmes de dysfonctionnements et à l’indisponibilité, perte de parts de marché , pénalités de retard, etc.- Coût généré par des pertes d’image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc.- Coûts d’assurance, de gestion, d’ investigation, salaires des experts, etc.- Coûts de reprise après incidents, de la gestion de crise, de restitution, de reconstitution des données, de remise en état, de remplacement des systèmes, etc.


3. Définir une stratégie de sécurité1) Stratégie généraleLa diversité des solutions peuvent créer un problème de cohérence globale de la démarche de sécurité.Exemple 1 : La technologie ne suffit pas mais elle doit être intégré dans une démarche de gestion de sécurité.Exemple 2 : La sécurité d’ un système particulier n’est que une composante de la sécurité globale d’ une entreprise.Beaucoup de stratégies de sécurité existent, de politiques de sécurité, de mesures, de procédures ou de solutions de sécurité que d’organisations et de besoins sécuritaires à satisfaire à un moment donné.Politique de sécurité et risques font l’objet d’ une actualisation et d’ une évaluation permanentes.


3. Définir une stratégie de sécurité De la stratégie d’ entreprise à la stratégie sécuritaire:

1)ICT (Information and Communication Technologies) : Technologies de l'information et de la communication.


Stratégie d’entreprise

Stratégie de sécurité

Politique de sécurité

Mesures de sécurité

Sécurité informatique :Technologiques

ProcéduresOrganisationnelles

JuridiquesHumaine

Services ICT de qualitérépondant à la stratégie de

l’entreprise

3. Définir une stratégie de sécurité2) Compromis et bon sensLa sécurité : une question de compromis



Besoin de protection

Besoin de production

Maitrise desrisques

Réduire les risquesà un niveau acceptable

Minimiser les pertes

Permettre un usage efficace des technologies

Risques

Coût du risque

Coût de la maîtrise des risques

3. Définir une stratégie de sécurité La sécurité : une question de bon sens


Une question de bon sens

Trop de sécurité est

aussi problématiqu

e que pas assez

Une politique de sécurité ne doit

pas être conçue à partir de

limitations particulières de

certains systèmes

Le plus dur n’est pas de décider quelle est la

technologie de sécurité à appliquer mais d’

identifier pourquoi on doit l’appliquer et sur

quoi

La sécurité n’est jamais

acquise définitivement, elle se vit au

quotidien

La sécurité doit être fonction des risques et

proportionnelle aux enjeux

Plus grande est la récompense, plus

grand est le risque de pénétration d’ un

systèmeLa qualité des

outils de sécurité dépend de la politique

de sécurité qu’ils servent

La sécurité est l’

affaire de tous

3. Définir une stratégie de sécurité3) ResponsabilitéLes responsable de la sécurité des systèmes d’information sont des prestataires de services pour la partie de la sécurité qui ils gèrent et contrôlent.Leur accès aux ressources informatiques implique en plus d’une intégrité sans faille, des procédures de surveillance et de contrôle de leurs actions particulièrement strictes, à la mesure des risques qu’ils font potentiellement courir aux systèmes qu’ils gèrent.L’ augmentation des affaires criminelles ayant une origine interne, impliquant la complicité d’informaticiens, doit obliger les organisation à traiter la question de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes peu scrupuleuses.


3. Définir une stratégie de sécurité3) Nouveaux risques, nouveaux métiersMétiers concernant la sécurité :- Chief Security Officer (CSO) - Il s’agit de la personne responsable de toute la sécurité de l’organisation.- Chief Information Securitty Officer (CISO) - La personne assumant la responsabilité de la sécurité des informations au sein d’une organisation.Diverses fonctions ou missions spécifique existent comme par exemple:- Responsable de la sécurité des systèmes d’information;- Responsable de la sécurité des réseaux;- Responsable de la sécurité des systèmes;- Responsable de la veille technologique en matière de sécurité;- Auditeur de la sécurité;- Architecte de la sécurité- …


4. Prise en compte des besoins juridiques1) Sécurité et répression du crime informatique Actuellement, la cybercriminalité est mal maitrisée comme le prouvent les chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques du CERT (Computer Emergency Readiness Team).Les motifs de tel situation sont notamment liées:- Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel , réalisation à distance);- À la pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques;- À la difficulté à qualifier les faits au regard de certaines législations pénales;- …Note: CSI (www.gocsi.com) CERT(www.us-cert.gov)


4. Prise en compte des besoins juridiques2) Infraction, responsabilité et obligations de moyens Crimes et délits contres les personnes:Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation d’une personne-atteinte au secret professionnel - atteinte aux mineurs- harcèlement…Crimes et délit contre les biens:Escroquerie - fraude - crime économique et financier - vol - modification, destruction de ressources - chantage - piratage des systèmes…Provocation aux crimes et délits:Apologie des crimes contre l’humanité – apologie et provocation au terrorisme – provocation à la haine raciale – négationnisme …Infraction à diverse règlementation (code civil, code des obligations, code pénal, code de la propriété intellectuelle, droit de l’ audiovisuel, des contrats,…):Contrefaçon d’une œuvre de l’esprit (logiciel), d’une image, dessin - contrefaçon de marque - téléchargement illégale - participation à la tenue d’une maison de jeux au hasard (cybercasino) - infraction de presse…


4. Prise en compte des besoins juridiques3) Prendre en compte la sécurité en regard de la législation Il est très important que les responsable de sécurité des organisations soient sensibilisées aux contraintes d’une enquête policière (documentation minimale relative à l’incident, conservation des traces, etc.).L’organisation doit être prudente au respect de la protection des données à caractère personnel de ses employés comme celles des ses clients, fournisseurs ou partenaires.Dans la majorité des pays, la législation recommande que la mise en œuvre de la cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de l’informatique et des télécommunications.


4. Prise en compte des besoins juridiques4) La confiance passe par le droit, la conformité et la sécurité L’intelligence est devenu un facteur clé de succès de la réalisation de la sécurité informatique.Exemple : la responsabilité pénale des acteurs (comme le responsable sécurité ou du directeur de systèmes d’information) est de plus en plus invoquée si les ressources informatiques qu’ ils gèrent, sont l’objet ou le moyen d’une délit.Les responsables d’ organisations doivent être extrêmement attentif à l’ égard du droit de nouvelles technologies et leur système informatique doit être en conformité juridique.


4. Prise en compte des besoins juridiques5) Règlementation international La première règlementation internationale (et la seule), contribuant à donner la dimension internationale de la cybercriminalité est la convention sur la cybercriminalité-Budapest 23 novembre 2001. Exemple de point abordé : les états doivent établir leur compétences à l’ égard de toute infraction pénale lorsque cette dernière est commise sur son territoire.Il y a aussi des lignes directives de l’OCDE (Organisation de Coopération et de Développement Economique). Voila deux exemples de points évoqués:


Démocratie La sécurité des systèmes et des réseaux d’information doit être compatible avec les valeurs fondamentales d’une société démocratique.

Conception et mise en œuvre de la sécurité

Les parties prenantes doivent intégrer la sécurité en tant qu’un élément essentiel des systèmes et réseaux d’information.

5. Sécurité et société de l’ information1) Pour une société de l’information sûre L’ état a des responsabilités importantes pour la réalisation d’une sécurité numérique:- Il doit définir les lois;- Il doit favoriser et encourager la recherche et le développement en matière de sécurité;- Il doit promouvoir une culture de la sécurité et du respect de l’intimité numérique;- Il doit imposer le respect d’un minimum de normes de sécurité.2) Respect des valeurs démocratiques Replacer l’ être humain et les principes démocratiques dans les technologies de l’information (et dans les solutions de sécurité) est nécessaire pour donner les moyens aux internautes de devenir des cybercitoyens avertis, et non pas des consommateurs vulnérables et dépendants.


Exercice 21 : Que recouvre la notion de stratégie de sécurité? Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un

processus continu? Exercice 23 : Dans quelles mesures la sécurité informatiques

est - elle résultante d’un compromis? Exercice 24 : Dans quelle mesure la conformité réglementaire

se décline-t-elle comme un besoin de sécurité? Exercice 25 : Pourquoi la compréhension du risque juridique

par des responsables de la sécurité informatique est importante?


Plan

Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour :- Découvrir les caractéristiques générales et l'encapsulation des

protocoles du modèle TCP/IP;- Analyser le trafic réseau.


1. Gouverner la sécurité1) Mise en perspectiveGouverner la sécurité illustre la volonté de diriger, d’influencer, de conduire de manière déterminante la sécurité et de maîtriser les risques liés à l’insécurité technologique.La gouvernance a pour but d’ assurer que les solutions de sécurité sont optimales. entre autres, elle vérifie qu’elle est en mesure de répondre de manière exacte aux questions: Qui fait quoi? Comment et quand? 2) Gouvernance de la sécurité de l’informationGouverner la sécurité peut être perçu comme un processus pour établir et maintenir un cadre supportant la structure de gestion qui permet de réaliser la stratégie de sécurité.Gouverner la sécurité c’est protéger les actifs informationnels contre le risque de perte, d’ interruption, d’abus, de divulgation non autorisée, ou de risques juridiques liés à la responsabilité légale des acteurs.


1. Gouverner la sécurité3) Principes de base de la gouvernance de la sécuritéPrincipes d’une méthode de gouvernance pour la mise en place d’une politique de sécurité.Responsabilité - Une instance assurant la gouvernance doit être responsable de la tâche qui lui appartient.Proportionnalité - Les investissements doivent être en proportionnels au risque informationnel encouru par l’ organisme .Conscience - Les entités directrices sont conscientes du l’importance des actifs informationnels de l’entreprise et ainsi du rôle de la sécurité.Conformité – La démarche de la sécurité doit être conçues en conformité avec les exigences légale de tous niveaux.Efficacité - Les actions à entamer doivent satisfaire les objectifsEthique – L’ exploitation des ressources informationnelles au sein de l’entreprise doit être éthiquement correcteInclusion – Les objectifs de toutes les parties intéressées par la démarche doivent être prises en considération.


1. Gouverner la sécurité Equité – Les entités directrices élaborant les solutions

sécuritaires basées sur la perception et les règles démocratiques perçues comme telles dans l’environnement où l’entreprise agit.

Transparence – Le devoir d’ informer les parties intéressées sur l’ état courant de la sécurité appartient aux entités directrices.

Mesure – Les mesures de sécurité ont pour finalité l’ amélioration de la gouvernance.

Objectif – La sécurité informationnelle a un large champ d’ intervenants (processus, ressources, acteurs, culture de l’entreprise…).

Réponse – Des tests continus liés aux réponses apportées en situation de crises doivent effectués régulièrement.

Gestion du risque – Les entités directrices s’assurent que le processus d’ appréciation des risques se fait d’une manière continue et formelle.


2. Gestion du risque informationnel1) définitionsUn risque est la combinaison de la probabilité d’ un évènement et de ses impacts. Un risque exprime la probabilité qu’un valeur soit perdue en fonction d’une vulnérabilités liée à une menace :

La terminologie liée au risque distingue l’analyse, l’ évaluation, l’ appréciation, le traitement et la gestion du risque :- Analyse du risque : Exploitation systématique d’ information pour fixer les sources afin de pourvoir estimer le risque.- Evaluation du risque – c’est le processus de comparaison du risque estimé avec des critères de risque donnés pour identifier l’ importance du risque.- Appréciation du risque – Processus d’analyse et d’ évaluation du risque.- Traitement du risque – Processus de sélection et implémentation des mesures visant à modifier le risque.- Gestion du risque – activités coordonnées visant à conduire et à piloter une organisation vis-à-vis des risques.


risque vulnérabilité menace impact

2. Gestion du risque informationnel2) Principes de gestionLes éléments d’ une démarche de gestion du risque informationnel sont :- Identification des actifs en correspondance avec les critères de sécurité.- Appréciation de vulnérabilités en relation avec les actifs à protéger.- Appréciation des menaces (identification de l’origine(motivation, capacité à se réaliser) et amplificateurs des menaces).- Appréciation du risque (illustration par une matrice des probabilités et des impacts).- Identification des contre-mesures (qui tiennent compte de trois types d’acteurs que sont les processus, la technologie et les utilisateurs).


3. Politique de sécurité1) Stratégie et politique de sécurité


Stratégie d’ entreprise

Stratégie du système d’ information

Stratégie de sécurité

Politique de

sécurité

Politique du système d’ information

Politique d’ entreprise

3. Politique de sécurité La politique de sécurité fait la liaison entre la stratégie de

sécurité d’ une entreprise et l’ implémentation opérationnelle de la sécurité.

La politique de sécurité établit les principes fondamentaux de la sécurité qui permettent de protéger le système d’information. Cette protection est assurée par exemple par :

- des règels : classification des l’information;- des outils : chiffrement, firewalls;- des contrats: clauses et obligations;- l’enregistrement, la preuve, l’authentifications, l’identification,

le marquage ou le tatouage;- Le dépôt de marques , de brevets, et la protection des droit de

l’ auteur. En complément, la protection pourra prévoir :- de dissuader par des règles et des contrôles;- de réagir par l’existence de plans de secours, de continuité et

de reprise;- de gérer les incidents majeurs par un plan de gestion de crise;- de gérer les performance et les attentes des utilisateurs; etc.


3. Politique de sécurité2) Projet d’ entreprise orienté gestion des risquesprendre en compte l’analyse des risques liés au systèmes d’information dans un processus de gestion de risque globaux, guide toute la démarche de sécurité d’une organisation.Le risque informatique, informationnel ou technologique doit être défini au même titre que tous les autres risques de l’entreprise (risque métier, social, environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque informatique est un risque opérationnel qui doit être maitrisé.La gestion des risques est le point de départ de l’analyse des besoins sécuritaires qui permet la définition de la stratégie de sécurité.


3. Politique de sécurité De l’analyse des risques à la politique de sécurité


Identification du risque

origine

Cause

Potentialité

Impacts, effets, conséquences, gravité

Risques subis

Risques encourus

Risques de perte

Identification des risques

Quantification des risques

Risques acceptables?

Analyse – Evaluation – AppréciationTraitement – Gestion des risques

Sécurité des valeur

s

Politique de

sécurité

Risques choisis, calculés, mesurés, acceptés

Risques pris

Risques profitables, risques de réussir

3. Politique de sécurité3) Propriétés d’ une politique de sécuritéDéterminants d’ une politique de sécurité


Vision stratégique de la maitrise des risques

Politique de sécuritéQue protéger? Pourquoi? Contre qui? Comment?

Valeurs Risques

Contraintes

Référentiel de sécurité

Règles de sécurité

Mesures de sécurité

Structure organisationnelle

Droits et devoirs

Plan de contrôle et de suivi

Planification Prioritisation des actions

3. Politique de sécurité Différentes composantes d’ une politique de sécurité


4. Méthodes et normes de sécurité1) Principales méthodes françaisePour élaborer une démarche de sécurité, on s’appuie sur une méthode qui facilite l’identification des points principaux à sécuriser. En général la sécurité repose sur un ensemble reconnu de bonnes pratiques que sur une méthodologie unique.Les méthode recommandées par le CLUSIF (CLUb de la Sécurité de l'Information Français, www.clusif.asso.fr) sont Marion (Méthode d’Analyse des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthode Harmonisée d’Analyse des RIsques).La méthode Méhari est évolutive et compatible avec la norme ISO 17799.La DCSSI (Direction Centrale de las Sécurité des Systèmes d’ Information) a élaboré une méthode largement documenté, présentée et téléchargeable sur son site: www.ssi.gouv.fr/fr/dcssi. Dénommée Ebios ( Expression des Besoins et Identification des Objectifs de Sécurité), cette méthode est implémentée par les administrations françaises, permet de fixer les objectifs de la sécurité des organisation, pour répondre à des besoins déterminés.


http://www.ssi.gouv.fr/fr/dcssi

4. Méthodes et normes de sécurité Les différentes méthodes préconisées par le CLUSIF


Méthode Marion

MéthodeMEHARI

Méthode Marion : Méthode d’analyse des risques informatiques optimisation par niveau

Méhari : Méthode harmonisées d’ analyse des risques

Propose un cadre et une méthode qui garantissent la cohérence des décisions prises au niveau directorial

Structure la sécurité de l’entreprise sur une base unique d’ appréciation dans la complexité des systèmes d’information

Permet la recherche des solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes

Assure, au sein de l’entreprise, l’ équilibre des moyens et la cohérence des contrôles

Les applications de Méhari:Plan stratégique de sécurité - Plan(s) opérationnelle(s) de sécuritéTraitement d’une famille de scenario - Traitement d’un risque spécifiqueTraitement d’un critère de sécurité – Traitement d’un scenario particulierTraitement d’ une application opérationnelle – Traitement d’ un projet

4. Méthodes et normes de sécurité2) Norme internationale ISO/IEC 17799OrigineL’origine de la norme IOS 17799 élaborée par l’ ISO (www.iso.org) à la fin de l’année 2000 est la norme BS 7799 élaborée par l’association de normalisation britannique en 1995.L’adoption par le marché de la norme ISO à été encouragé par le fait que certaines compagnies d’ assurance demandent l’ application de cette norme afin de couvrir le cyber-risques.Son importance réside dans le fait que la norme aborde les aspects organisationnels, humains, juridiques et technologues de la sécurité en rapport avec les différentes étapes de conception, mise en œuvre et maintien de la sécurité.


http://www.iso.org/

4. Méthodes et normes de sécurité Elle aborde de dix domaines de sécurité, de 36 objectifs de

sécurité et de 127 points de contrôle. Les dix domaines abordés par la norme:Politique de sécurité - Organisation de la sécuritéClassification et contrôle des actifs - Sécurité et gestion des

ressources humaines;Sécurité physique et environnementale Exploitation de gestion des systèmes et des réseaux - Contrôle

d’ accès;Développement et maintenance des systèmes - Continuité de

service – conformité Une nouvelle version améliorée de la norme (ISO/IEC

17799/2005) a été proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux paragraphes qui concernent l’ évaluation et l’ analyses des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents.


4. Méthodes et normes de sécuritéObjectifs de la norme ISO/IEC 17799:2005La norme ISO/IEC 17799:2005 et ces versions antérieurs aident les organisation à répondre à quatre principales questions concernant la protection de leurs actifs informationnels, à savoir :Que protéger et pourquoi?De quoi les protéger?Quels sont les risques?Comment les protéger?En répondant à cette question, l’organisation définit sa méthode sécuritaires. La première étape de celle-ci consiste à réaliser l’ inventaire des valeurs à protéger en distinguent leur degré de criticité afin d’ effectuer des priorités à la réalisation des solutions de la sécurité.


4. Méthodes et normes de sécuritéStructure, thèmes et chapitres de la norme ISO/IEC 17799:2005La norme comporte 11 chapitres dont les objectifs sont illustrés dans le figure.



Gestion des biens

Sécurité liée aux

ressources humaines

Sécurité physique

et environnementale

Gestion opérationnelle et gestion

de la communicati

on

Contrôle d’

accès

Acquisition développem

ent, et maintenanc

e des SI

Gestion d’ incident liés à la

sécurité d’ informatio

n

Gestion de la continuité de l’activité

Gestion de la sécurité de l’ information

4. Méthodes et normes de sécurité La structure et les thèmes évoqués dans la version 2005 de la

norme 17799 sont les suivants:- Introduction- Evaluation des risques et traitements- Politique de sécurité- Organisation de la sécurité de l’ information- Gestion des biens et des valeurs- Sécurité des ressources humaines- Sécurité physique et environnementale- Gestion des communication et des opérations- Contrôle d’ accès- Acquisition, développement et maintenance des systèmes de l’

information- Gestion des incidents de sécurité de l’information- Gestion de la continuité de l’ activité- Conformité


4. Méthodes et normes de sécurité Exemple :Gestion des incidents de sécurité de l’information:- Notification des évènements et des faiblesse de sécurité de

l’information- Notification des évènements de sécurité de l’ information- Notification des faiblesse de sécurité- Gestion des incidents et des améliorations de la sécurité de l’

information- Responsabilité et procédure- Enseignement à tirer des incidents de sécurité- Collecte de preuves


4. Méthodes et normes de sécurité3) norme internationale de la famille ISO/IEC 27000La famille des normes 27000La famille des normes ISO/IEC 27001:2005 aborde le thème de management de la sécurité de l’information dans sa globalité. La norme 27001 s’intitule “système de gestion de la sécurité de l’information”. D’autres nome de la famille 27000 traitent différents domaines, à savoir:- Les notions fondamentales et une formalisation du vocabulaire (27000)- Guide pour l’ implémentation du Système de Mangement de la Sécurité de l’Information (SMSI)(27003).- Les métriques du management de la sécurité de l’ information (72004).- La gestion du risque en matière de sécurité de l’ information (27005).- Les exigences pour les organismes auditant et certifiant un SMSI(27006)- Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI (27007);- Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI(27008)


4. Méthodes et normes de sécuritéIntroduction à la norme ISO 27001La norme 27001 dérive de la norme nationale anglaise BS 7799-2 : 2002 qui a pour but les contrôles à mettre en place pour satisfaire les objectifs de la première partie BS 7799-1.La norme 27001 établit un modèle pour établir, implémenter, exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de l’information SMSI (Système de Mangement de la Sécurité de l’Information).La norme s’ appuie sur un modèle PDCA (plan, do, check, act). Comprendre da sécurité sous la forme PDCA contribue à:- Comprendre les exigences de sécurité et besoins de la politique de sécurité;- Implémenter et effectuer des contrôles pour gérer le risque informationnel;- Surveiller et revoir la performance de SMSI- Proposer des améliorations basées sur des mesures de l’ efficacité du SMSI.


4. Méthodes et normes de sécurité Le modèle PDCA


Parties intéressées

Exigences et

expectatives de la

sécurité de l’

information

Etablir SMSI

Surveiller

SMSI

Implémenter et exploiter SMSI

Maintien et

amélioration du SMSI

Parties intéressées

La sécurité de l’

information gérée

PLAN

CHECK

DO ACT

4. Méthodes et normes de sécurité Etablir un modèle de gestion de sécurité satisfaisant les

exigences de la norme implique trois étapes: - Création d’un cadre managérial afin de spécifier les

directives, les intentions et les objectifs pour la sécurité de l’information et définir les politique stratégique qui engage la responsabilité du management.

- Identification et évaluation des risques réalisés sur la base des exigences de sécurité définies par l’ entreprise pour identifier les actions managériales appropriées à entreprendre et les priorités pour maîtriser le risque.

- Développement du SMSI, choix et implémentation des contrôles à implémenter. Une fois que les exigences ont été déterminées, les contrôles appropriés peuvent être sélectionnées afin de s’assurer que les risques que le système d’ information fait encourir à l’ organisation sont réduit à un niveau acceptable conforment aux objectifs de la sécurité de l’ entreprise.


4. Méthodes et normes de sécurité4) Méthodes et bonnes pratiquesAvantage et inconvénients de l’utilisation d’une méthode pour définir une politique de sécurité


Avantages InconvénientsGain en terme d’ efficacité en réutilisant le savoir-faire transmis par la méthode. Capitalisation des expériences.

Bien qu’ elles peuvent faire l’ objet de révision (nouvelles versions), les normes ou méthode se n’ évoluent pas au même rythme que les besoins ou les technologies.

Une norme ou une méthode est générale. Il faut s’avoir la spécifier en fonction de besoins particuliers de l’ organisation.

Langage commun, référentiel d’ actions structuration de la démarche, approche exhaustive.

Prolifération des méthodes : difficulté de choix.

Disposer des compétences nécessaires. Efforts financiers, durée, coûts, Difficultés à maitriser la démarche qui peut s’ avérer lourde et nécessité des compétences externes.Recourt à des consultants spécialisés.

Etre associé à des groupes d’ intérêts. Partage d’ expériences, de documentation, formation possibles.

4. Méthodes et normes de sécurité5) Modèle formel de politique de sécuritéDifférents modèles proposent une présentation abstraite des principes de sécurité à prendre en compte:- Le modèle de Bell-LaPadula : modèle des exigences de contrôle d’ accès spécifiant une politique de sécurité pour la confidentialité;- Le modèle de Clark et Wilson lié à l’ intégrité des systèmes transactionnels commerciauxLes principales définitions correspondant à ces modèles sont:- Objet O : Entité passive qui reçoit ou possède des informations ou encore l’ Objet de stockage, qui inclut les accès en lecture et en écriture.- Sujet S : Entité active (une personne, un processus ou un équipement) liée à un profil.- Opération licite T : L’ opération licite T est permise pour le sujet S sur l’ Objet O;- Canal caché : exploitation d’ un mécanisme non prévu pour la communication pour transférer des informations d’ une manière qui viole la sécurité.


Exercice 26 : Quels sont les avantages relatifs à la définition d’ une politique de sécurité pour une organisation?

Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en place d’ une politique de sécurité pour le système d’ information d’ une entreprise?

Exercice 28 : Comment s’exprime la rentabilité d’ une politique de sécurité?

Exercice 29 : Identifier les principales étapes d’ une démarche sécurité?

Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients potentiels liés à l’ externalisation de la sécurité informatique (outsourcing) par rapport à une gestion interne de la sécurité?

Exercice 31 : Quelles sont les principales limites de la norme ISO 17799 pour la réalisation de la sécurité?


Documents

Cours securité informatique.ppt