1 / 21

Plan

Chapitre 2: Principe de sécurité. Plan. Critères de sécurité et fonctions associées Domaine d’application de la sécurité Différentes facettes de la sécurité TP1: Tester les outils : ping , traceroute , netstast. Mounir GRARI Sécurité informatique 62.

miron
Download Presentation

Plan

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapitre 2: Principe de sécurité Plan Critères de sécurité et fonctions associées Domaine d’application de la sécurité Différentes facettes de la sécurité TP1: Tester les outils : ping, traceroute, netstast Mounir GRARI Sécurité informatique62

  2. Chapitre 2: Principe de sécurité 1. Critères de sécurité et fonctions associées Les sécurité informatique doit contribuer à satisfaire les critères (objectifs) suivant : La disponibilité L’ intégrité La confidentialité Ils s’ajoutent à ces trois objectifs deux autres: ceux qui permettent de prouver l’identité des entités (notion d’authentification) et ceux qui indiquent que des actions ou évènements ont bien eu lieu (notions de non-répudiation, d’imputabilité voire de traçabilité). Mounir GRARI Sécurité informatique63

  3. Chapitre 2: Principe de sécurité Confidentialité 1. Critères de sécurité et fonctions associées Disponibilité Intégrité Critères de sécurité authenticité Non-répudiation Mounir GRARI Sécurité informatique64

  4. Chapitre 2: Principe de sécurité 1.1 Disponibilité La disponibilité d’ un service est la probabilité de pouvoir mener correctement à terme une session de travail. La disponibilité des services est obtenue: - par un dimensionnement approprié et aussi une certaine redondance; - par une gestion efficace des infrastructures. Exemple : Dans un réseau grande distance et de topologie maillée, la disponibilité sera réalisée à condition que l’ensemble des liaison ait été correctement dimensionné et que les politiques de routage soient satisfaisantes. Une ressource doit être assurée avec un minimum d’interruption. On parle de continuité de service. Ainsi, un arbitrage entre le coût de la sauvegarde et celui du risque d’indisponibilité supportable par l’organisation seront établis afin que la mise en œuvre des mesures techniques soit efficace. Mounir GRARI Sécurité informatique65

  5. Chapitre 2: Principe de sécurité 1.2 Intégrité Le critère d’ intégrité est lié au fait que des ressources ou services n’ont pas été altérés ou détruit tant de façon intentionnelle qu’accidentelle. Il est indispensable de se protéger contre la modification des données lors de leur stockage, le leur traitement ou de leur transfert. l’intégrité de données en télécommunication relève essentiellement des problèmes liés au transfert de données, cependant elle dépond des aspects purement informatiques (logiciels, systèmes d’exploitation, environnement d’ exécution, procédures de sauvegarde, de reprise et de restauration des données). Mounir GRARI Sécurité informatique66

  6. Chapitre 2: Principe de sécurité 1.3 Confidentialité La confidentialité peut être vue comme la protection des données contre une divulgation non autorisé. Deux actions complémentaires permettent d’assurer la confidentialité des données: - limiter leur accès par un mécanisme de contrôle d’ accès; - transformer les données par des techniques de chiffrement pour qu’ elles deviennent inintelligibles aux personnes n’ ont pas les moyens de les déchiffrer. Le chiffrement des données (ou cryptographie) contribue à en assurer la confidentialité des données et à en augmenter la sécurité des données lors de leur transmission ou de leur stockage. Mounir GRARI Sécurité informatique67

  7. Chapitre 2: Principe de sécurité 1.4 Identification et authentification Note : Identifier le peintre présumé d’un tableau signé est une chose, s’assurer que le tableau est authentique en est une autre (identification et authentification). L’authentification vérifie une identité annoncée et de s’assurer de la non usurpation de l’identité d’une entité (individu, ordinateur, programme, document, etc.). Tous les mécanisme de contrôle d’ accès logique aux ressources informatiques nécessitent de gérer l’ identification et l’ authentification. Exemple : Je m’appelle mohamed→ identification. Mon mot de passe est blabla!12345→ authentification Mounir GRARI Sécurité informatique68

  8. Chapitre 2: Principe de sécurité 1.4 Non-répudiation La non-répudiation est le fait de ne pouvoir nier qu’ un évènement (action, transaction) a eu lieu. Ce critère est liés aux notions d’ imputabilité, de traçabilité et éventuellement d’ auditabilité. L’ imputabilité se définit par l’attribution d’un évènement à une entité déterminée (ressource, personne). L’imputabilité est associée à la notion de responsabilité. La traçabilité a pour finalité de suivre la trace numérique laissée par la réalisation d’une action (message électronique, transaction commerciale, transfert de données…). Cette fonction comprend l’enregistrement des actions, la date de leur réalisation et leur imputation. Exemple : Trouver l’adresse IP d’un machine à partir duquel des données ont pu être envoyées (fichier log). L’auditabilité est la capacité d’un système à garantir les informations nécessaires à une analyse d’un évènement dans le cadre de procédures de contrôle et d’audit. L’audit peut être mis en œuvre pour vérifier, contrôler, évaluer, diagnostiquer l’ état de sécurité d’un système. Mounir GRARI Sécurité informatique69

  9. Chapitre 2: Principe de sécurité 2. Domaine d’application de la sécurité Toute les activités informatiques sont concernées par la sécurité d’un système d’information. Selon le domaine d’application la sécurité informatique a plusieurs aspects : - Sécurité physique ; - sécurité de l’exploitation; - sécurité logique ; - sécurité applicative; - sécurité des communications. Mounir GRARI Sécurité informatique70

  10. Chapitre 2: Principe de sécurité 2.1 Sécurité physique La sécurité physique est liée à tous les aspects liés à la maitrise des systèmes et de l ’environnement dans lequel ils se situent. La sécurité repose essentiellement sur: - les normes de sécurité; - la protection des sources énergétiques (alimentation, etc.); - la protection de l’environnement (incendie, température, humidité, etc.); - la protection des accès (protection physique de équipement, locaux de répartition, tableaux de connexion, infrastructure câblée, etc.); - la sureté de fonctionnement et la fiabilité des matériels (composants, câbles, etc.); - la redondance physique; - le marquage des matériels; - Le plan de maintenance préventive (test, etc.) et corrective (pièce de rechange, etc.); - … Mounir GRARI Sécurité informatique71

  11. Chapitre 2: Principe de sécurité 2.2 Sécurité de l’ exploitation La sécurité de l’ exploitation concerne tout ce qui est lié au bon fonctionnement des systèmes informatiques. La sécurité de l’ exploitation dépend fortement de son niveau d’ industrialisation, qui est qualifié par son niveau de supervision des applications et l’automatisation des tâches. Les points critiques de la sécurité de l’ exploitation sont les suivant: - plan de sauvegarde; - plan de secours; - plan de continuité; - plan de tests; - inventaires réguliers et si possible dynamique; - gestion du parc informatique; - gestion des configuration et des mises à jour; - gestion des incidents et suivi jusqu’ à leur résolution; - analyse de fichiers de journalisation et de comptabilité; -… Mounir GRARI Sécurité informatique72

  12. Chapitre 2: Principe de sécurité 2.3 Sécurité logique La sécurité logique fait référence à l’ élaboration de solutions de sécurité par des logiciels contribuant au bon fonctionnement des applications et services. La sécurité logique repose en grande partie sur des techniques de cryptographie par des procédures d’authentification, par des antivirus, des procédures de sauvegarde et de restitution des informations sensibles sur des supports fiables et spécialement protégés et conservés dans des lieux sécurisés. Afin de déterminer le degré de protection nécessaire aux informations manipulées, une classification des données est à réaliser afin de qualifier leur degré de sensibilité (normale, confidentielle, etc.). Mounir GRARI Sécurité informatique73

  13. Chapitre 2: Principe de sécurité 2.4 Sécurité applicative La sécurité applicative comprend le développement de solutions logicielles (ingénierie du logiciel, qualité du logiciel) ainsi que leur intégration et exécution harmonieuses dans des environnements opérationnels. Elle s’appuie essentiellement sur l’ ensemble des facteurs suivants: - une méthodologie de développement (respect des normes); - la robustesse des applications; - des contrôles programmés; - des jeux des tests; - des procédures de recettes; - l’ intégration de mécanisme de sécurité, d’outils d’ administration et de contrôle de qualité dans les applications; - un plan de migration des application critiques; - la validation et l’audit des programmes; - un plan d’assurance sécurité; - … Mounir GRARI Sécurité informatique74

  14. Chapitre 2: Principe de sécurité 2.4 Sécurité des communications La sécurité des communications consiste à offrir à l’utilisateur final une connectivité fiable et de qualité de bout en bout (end to end security). Ceci implique l’ élaboration d’une infrastructure réseau sécurisée au niveau des accès, de l’acheminement , des protocoles de communication, des systèmes d’ exploitation et des équipements de télécommunications et des supports de transmission. La sécurité des télécommunications ne peut à elle seule garantir la sécurité des transfert des données. Il est également impératif de sécuriser l’ infrastructure applicative dans laquelle s’ exécutent les applications sur les systèmes d’extrémité au niveau de l’ environnement de travail de l’utilisateur et des applications. Le sécurité des télécommunications ne peut s’envisager sans une analyse de risque spécifique à chaque organisation en fonction de son infrastructure environnementale, humaine, organisationnelle et informatique. Mounir GRARI Sécurité informatique75

  15. Chapitre 2: Principe de sécurité 3 Différentes facettes de la sécurité La sécurité informatique d’une organisation doit envisager d’une manière globale et stratégique. Elle passe par la réalisation d’une politique de sécurité, la motivation et la formation du personnel ainsi que par l’optimisation de l’usage des technologie de l’information et des communications (TIC). La maitrise de la sécurité est une question de gestion. La sécurité informatique passe par une gestion rigoureuse de la logistique, des ressources humaines, des systèmes informatiques, des réseaux, des locaux et de l’infrastructure environnementale et des mesures de sécurité. Exemple : Des techniques comme ceux chiffrement ou les firewalls ne permettent pas de sécuriser un environnement à protéger s’ils ne sont pas inscrit dans une démarche de gestion de risque précise. Mounir GRARI Sécurité informatique76

  16. Chapitre 2: Principe de sécurité 3.1 Diriger la sécurité diriger la sécurité correspond à la volonté de maitriser: - les risques correspondant à l’usage des technologies de l’information; - les coûts pour se protéger des menaces; - les moyens à mettre en place pour réagir à une situation non sollicité mettant en danger la performance du système d’information et ainsi celle de l’organisation. La sécurité repose sur des axes complémentaires managérial, technique et juridique qui doivent être traités de manière complémentaires. La sécurité n’est jamais acquise définitivement. La constante évolution des besoin, des systèmes, de menaces et risques rend instable toute mesure de sécurité. Mounir GRARI Sécurité informatique77

  17. Chapitre 2: Principe de sécurité 3.2 Importance du juridique dans la sécurité Il est nécessaire que les responsables puissent prouver que des mesures suffisante de protection du système d’information et des données ont été mises en œuvre afin de se protéger contre un délit de manquement à la sécurité. Il existe une obligation de moyen concernant les solutions de sécurité. Les responsables d’ organisation doivent être attentifs à l’ égard du droit des nouvelles technologies et de s’assurer que leur système d’information est en conformité juridique. Les enjeux juridique doivent être pris en compte dans la mise en place des mesures de sécurité, qu’ils soient relatif à la conservation des données, à la gestion de données personnelles des clients, etc. Mounir GRARI Sécurité informatique78

  18. Chapitre 2: Principe de sécurité 3.3 Ethique et formation une éthique sécuritaire doit être élaborée au sein de l’ entreprise pour tous les acteurs du système d’ information; elle doit se traduire par une charte reconnue par chacun et par un engagement personnel à la respecter. Une charte d’utilisation des ressources informatiques et des services Internet doit comprendre des clauses relatives: - son domaine d’application - les règles d’utilisation professionnelle, rationnelle et loyale des ressource; - les procédés de sécurité; - les condition de confidentialité; … Des actions d’information et de formation sur les enjeux, les risques et les mesures préventives et dissuasives de sécurité sont nécessaires pour éduquerl’ ensemble du personnel à adopter une démarche de sécurité. La signature de la charte de sécurité doit s’accompagner de moyens aux signataires afin qu’ils puissent la respecter. Mounir GRARI Sécurité informatique79

  19. Chapitre 2: Principe de sécurité 3.4 Architecture de sécurité L’architecture de sécurité correspond à l’ ensemble des dimensions organisationnelle, juridique, humaine et technologique de la sécurité informatique à prendre en considération pour une appréhension complète de la sécurité d’une organisation. Disposer d’ un cadre architectural permet d’ avoir un référentiel de sécurité qui facilite la réalisation opérationnelle de la sécurité ainsi que son évaluation lors d’audit. La conception d’un système d’ information distribué et sécurisé passe impérativement par la définition préalable d’une structure conceptuelle qu’ est la l’ architecture de sécurité. Mounir GRARI Sécurité informatique80

  20. Chapitre 2: Principe de sécurité 3.4 Architecture de sécurité Mounir GRARI Sécurité informatique81

  21. Chapitre 2: Principe de sécurité Exercice 11 : Quels sont les objectifs de la sécurité informatique? Exercice 12 : Pourquoi la sécurité d’un réseau relève d’une problématique de gestion? Exercice 13 : Justifier le fait qu’ on doit élaboré les mesures de sécurité d’un manière globale? Exercice 14 : Discute la notion d’architecture de sécurité? explique comment ses différentes dimensions sont complémentaires. Mounir GRARI Sécurité informatique82

More Related