Embed Size (px)
DESCRIPTION
Chapitre 2: Principe de sécurité. Plan. Critères de sécurité et fonctions associées Domaine d’application de la sécurité Différentes facettes de la sécurité TP1: Tester les outils : ping , traceroute , netstast. Mounir GRARI Sécurité informatique 62. - PowerPoint PPT Presentation
Citation preview
Plan
Critères de sécurité et fonctions associées Domaine d’application de la sécurité Différentes facettes de la sécurité TP1: Tester les outils : ping, traceroute, netstast
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 62
1. Critères de sécurité et fonctions associées Les sécurité informatique doit contribuer à satisfaire les
critères (objectifs) suivant :oLa disponibilité oL’ intégrité oLa confidentialité
Ils s’ajoutent à ces trois objectifs deux autres:o ceux qui permettent de prouver l’identité des entités (notion
d’authentification) oet ceux qui indiquent que des actions ou évènements ont
bien eu lieu (notions de non-répudiation, d’imputabilité voire de traçabilité).
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 63
1. Critères de sécurité et fonctions associées
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 64
Critères de sécurité
Intégrité
Confidentialité
Disponibilité
Non-répudiation
authenticité
1.1 Disponibilité La disponibilité d’ un service est la probabilité de pouvoir
mener correctement à terme une session de travail. La disponibilité des services est obtenue:
- par un dimensionnement approprié et aussi une certaine redondance;- par une gestion efficace des infrastructures.
Exemple : Dans un réseau grande distance et de topologie maillée, la disponibilité sera réalisée à condition que l’ensemble des liaison ait été correctement dimensionné et que les politiques de routage soient satisfaisantes.
Une ressource doit être assurée avec un minimum d’interruption. On parle de continuité de service.
Ainsi, un arbitrage entre le coût de la sauvegarde et celui du risque d’indisponibilité supportable par l’organisation seront établis afin que la mise en œuvre des mesures techniques soit efficace.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 65
1.2 Intégrité Le critère d’ intégrité est lié au fait que des ressources ou
services n’ont pas été altérés ou détruit tant de façon intentionnelle qu’accidentelle.
Il est indispensable de se protéger contre la modification des données lors de leur stockage, le leur traitement ou de leur transfert.
l’intégrité de données en télécommunication relève essentiellement des problèmes liés au transfert de données, cependant elle dépond des aspects purement informatiques (logiciels, systèmes d’exploitation, environnement d’ exécution, procédures de sauvegarde, de reprise et de restauration des données).
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 66
1.3 Confidentialité La confidentialité peut être vue comme la protection des
données contre une divulgation non autorisé. Deux actions complémentaires permettent d’assurer la
confidentialité des données:- limiter leur accès par un mécanisme de contrôle d’ accès;- transformer les données par des techniques de chiffrement pour qu’ elles deviennent inintelligibles aux personnes n’ ont pas les moyens de les déchiffrer.
Le chiffrement des données (ou cryptographie) contribue à en assurer la confidentialité des données et à en augmenter la sécurité des données lors de leur transmission ou de leur stockage.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 67
1.4 Identification et authentification Note : Identifier le peintre présumé d’un tableau signé est une
chose, s’assurer que le tableau est authentique en est une autre (identification et authentification).
L’authentification vérifie une identité annoncée et de s’assurer de la non usurpation de l’identité d’une entité (individu, ordinateur, programme, document, etc.).
Tous les mécanisme de contrôle d’ accès logique aux ressources informatiques nécessitent de gérer l’ identification et l’ authentification.
Exemple :Je m’appelle mohamed → identification. Mon mot de passe est blabla!12345 → authentification
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 68
1.4 Non-répudiation La non-répudiation est le fait de ne pouvoir nier qu’ un
évènement (action, transaction) a eu lieu. Ce critère est liés aux notions d’ imputabilité, de traçabilité et éventuellement d’ auditabilité.
L’ imputabilité se définit par l’attribution d’un évènement à une entité déterminée (ressource, personne). L’imputabilité est associée à la notion de responsabilité.
La traçabilité a pour finalité de suivre la trace numérique laissée par la réalisation d’une action (message électronique, transaction commerciale, transfert de données…). Cette fonction comprend l’enregistrement des actions, la date de leur réalisation et leur imputation. Exemple : Trouver l’adresse IP d’un machine à partir duquel des données ont pu être envoyées (fichier log).
L’auditabilité est la capacité d’un système à garantir les informations nécessaires à une analyse d’un évènement dans le cadre de procédures de contrôle et d’audit. L’audit peut être mis en œuvre pour vérifier, contrôler, évaluer, diagnostiquer l’ état de sécurité d’un système.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 69
2. Domaine d’application de la sécurité Toute les activités informatiques sont concernées par la
sécurité d’un système d’information. Selon le domaine d’application la sécurité informatique a
plusieurs aspects :- Sécurité physique ;- sécurité de l’exploitation;- sécurité logique ;- sécurité applicative;- sécurité des communications.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 70
2.1 Sécurité physique La sécurité physique est liée à tous les aspects liés à la
maitrise des systèmes et de l ’environnement dans lequel ils se situent.
La sécurité repose essentiellement sur:- les normes de sécurité;- la protection des sources énergétiques (alimentation, etc.);- la protection de l’environnement (incendie, température, humidité, etc.);- la protection des accès (protection physique de équipement, locaux de répartition, tableaux de connexion, infrastructure câblée, etc.);- la sureté de fonctionnement et la fiabilité des matériels (composants, câbles, etc.);- la redondance physique;- le marquage des matériels;- Le plan de maintenance préventive (test, etc.) et corrective (pièce de rechange, etc.);- …
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 71
2.2 Sécurité de l’ exploitation La sécurité de l’ exploitation concerne tout ce qui est lié au
bon fonctionnement des systèmes informatiques. La sécurité de l’ exploitation dépend fortement de son niveau
d’ industrialisation, qui est qualifié par son niveau de supervision des applications et l’automatisation des tâches.
Les points critiques de la sécurité de l’ exploitation sont les suivant:- plan de sauvegarde;- plan de secours;- plan de continuité;- plan de tests;- inventaires réguliers et si possible dynamique;- gestion du parc informatique;- gestion des configuration et des mises à jour;- gestion des incidents et suivi jusqu’ à leur résolution;- analyse de fichiers de journalisation et de comptabilité;-…
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 72
2.3 Sécurité logique La sécurité logique fait référence à l’ élaboration de
solutions de sécurité par des logiciels contribuant au bon fonctionnement des applications et services.
La sécurité logique repose en grande partie sur des techniques de cryptographie par des procédures d’authentification, par des antivirus, des procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables et spécialement protégés et conservés dans des lieux sécurisés.
Afin de déterminer le degré de protection nécessaire aux informations manipulées, une classification des données est à réaliser afin de qualifier leur degré de sensibilité (normale, confidentielle, etc.).
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 73
2.4 Sécurité applicative La sécurité applicative comprend le développement de
solutions logicielles (ingénierie du logiciel, qualité du logiciel) ainsi que leur intégration et exécution harmonieuses dans des environnements opérationnels.
Elle s’appuie essentiellement sur l’ ensemble des facteurs suivants:- une méthodologie de développement (respect des normes);- la robustesse des applications;- des contrôles programmés;- des jeux des tests;- des procédures de recettes;- l’ intégration de mécanisme de sécurité, d’outils d’ administration et de contrôle de qualité dans les applications;- un plan de migration des application critiques;- la validation et l’audit des programmes;- un plan d’assurance sécurité;- …
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 74
2.4 Sécurité des communications La sécurité des communications consiste à offrir à
l’utilisateur final une connectivité fiable et de qualité de bout en bout (end to end security).
Ceci implique l’ élaboration d’une infrastructure réseau sécurisée au niveau des accès, de l’acheminement , des protocoles de communication, des systèmes d’ exploitation et des équipements de télécommunications et des supports de transmission.
La sécurité des télécommunications ne peut à elle seule garantir la sécurité des transfert des données. Il est également impératif de sécuriser l’ infrastructure applicative dans laquelle s’ exécutent les applications sur les systèmes d’extrémité au niveau de l’ environnement de travail de l’utilisateur et des applications.
Le sécurité des télécommunications ne peut s’envisager sans une analyse de risque spécifique à chaque organisation en fonction de son infrastructure environnementale, humaine, organisationnelle et informatique.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 75
3 Différentes facettes de la sécurité La sécurité informatique d’une organisation doit envisager
d’une manière globale et stratégique. Elle passe par la réalisation d’une politique de sécurité, la motivation et la formation du personnel ainsi que par l’optimisation de l’usage des technologie de l’information et des communications (TIC).
La maitrise de la sécurité est une question de gestion. La sécurité informatique passe par une gestion rigoureuse de la logistique, des ressources humaines, des systèmes informatiques, des réseaux, des locaux et de l’infrastructure environnementale et des mesures de sécurité.
Exemple : Des techniques comme ceux chiffrement ou les firewalls ne permettent pas de sécuriser un environnement à protéger s’ils ne sont pas inscrit dans une démarche de gestion de risque précise.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 76
3.1 Diriger la sécurité diriger la sécurité correspond à la volonté de maitriser:
- les risques correspondant à l’usage des technologies de l’information;- les coûts pour se protéger des menaces;- les moyens à mettre en place pour réagir à une situation non sollicité mettant en danger la performance du système d’information et ainsi celle de l’organisation.
La sécurité repose sur des axes complémentaires managérial, technique et juridique qui doivent être traités de manière complémentaires.
La sécurité n’est jamais acquise définitivement. La constante évolution des besoin, des systèmes, de menaces et risques rend instable toute mesure de sécurité.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 77
3.2 Importance du juridique dans la sécurité Il est nécessaire que les responsables puissent prouver que
des mesures suffisante de protection du système d’information et des données ont été mises en œuvre afin de se protéger contre un délit de manquement à la sécurité. Il existe une obligation de moyen concernant les solutions de sécurité.
Les responsables d’ organisation doivent être attentifs à l’ égard du droit des nouvelles technologies et de s’assurer que leur système d’information est en conformité juridique.
Les enjeux juridique doivent être pris en compte dans la mise en place des mesures de sécurité, qu’ils soient relatif à la conservation des données, à la gestion de données personnelles des clients, etc.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 78
3.3 Ethique et formation une éthique sécuritaire doit être élaborée au sein de l’
entreprise pour tous les acteurs du système d’ information; elle doit se traduire par une charte reconnue par chacun et par un engagement personnel à la respecter.
Une charte d’utilisation des ressources informatiques et des services Internet doit comprendre des clauses relatives:- son domaine d’application- les règles d’utilisation professionnelle, rationnelle et loyale des ressource;- les procédés de sécurité;- les condition de confidentialité;- …
Des actions d’ information et de formation sur les enjeux, les risques et les mesures préventives et dissuasives de sécurité sont nécessaires pour éduquer l’ ensemble du personnel à adopter une démarche de sécurité.
La signature de la charte de sécurité doit s’accompagner de moyens aux signataires afin qu’ils puissent la respecter.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 79
3.4 Architecture de sécurité L’architecture de sécurité correspond à l’ ensemble des
dimensions organisationnelle, juridique, humaine et technologique de la sécurité informatique à prendre en considération pour une appréhension complète de la sécurité d’une organisation.
Disposer d’ un cadre architectural permet d’ avoir un référentiel de sécurité qui facilite la réalisation opérationnelle de la sécurité ainsi que son évaluation lors d’audit.
La conception d’un système d’ information distribué et sécurisé passe impérativement par la définition préalable d’une structure conceptuelle qu’ est la l’ architecture de sécurité.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 80
3.4 Architecture de sécurité
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 81
Dimension humaine
Ethique SensibilisationFormation DissuasionCompétence Surveillance Etc.
Dimension technique
Sécurité matérielle Sécurité logique
Sécurité environnementale Sécurité applicative Sécurité des télécomsSécurité de l’exploitation
Dimension juridique
Normes LégislationProcédures Fichiers normatifsConformité Licence logicielEtc.
Dimension politique /économique
Responsabilité ContrôleOrganisation OptimisationMythologie Maitrise des coutGestion AssuranceEvaluation Etc.
Exercice 11 : Quels sont les objectifs de la sécurité informatique?
Exercice 12 : Pourquoi la sécurité d’un réseau relève d’une problématique de gestion?
Exercice 13 : Justifier le fait qu’ on doit élaboré les mesures de sécurité d’un manière globale?
Exercice 14 : Discute la notion d’architecture de sécurité? explique comment ses différentes dimensions sont complémentaires.
Cha
pitr
e 2:
Pri
ncip
e de
séc
urité
Mounir GRARI Sécurité informatique 82
