SlideShare una empresa de Scribd logo

La sécurité des systèmes d’information

Descargar como DOC, PDF
L
lara houda

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.

Tecnología
1 de 4
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information. Introduction à la sécurité Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Le risque en terme de sécurité est généralement caractérisé par l'équation suivante : La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions. Méthodes d'analyse de risque Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français : • la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par la DCSSI ; • la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ; • la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon (USA). Objectifs de la sécurité informatique Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger. La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. La sécurité informatique vise généralement cinq principaux objectifs : • L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ; • La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ; • La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
• La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; avec preuve d'émission ou avec preuve de réception • L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. • Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. Moyens de sécurisation d'un système La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible. Ainsi, la sécurité du système d'information doit être abordée dans un contexte global : • la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (security awareness) ; • la sécurité de l'information ; • la sécurité des données, liée aux besoins de cohérence des données en univers réparti ; • la sécurité des réseaux ; • la sécurité des systèmes d'exploitation ; • la sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc. • la sécurité des applications, cela passe par exemple par la programmation sécurisée ; • la sécurité physique, soit la sécurité au niveau des infrastructures matérielles: salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …). Mise en place d'une politique de sécurité La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leurs ont été octroyés. La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes : • Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; • élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation pour les risques identifiés; • définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ; • sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations; • préciser les rôles et responsabilités. La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
Moyens techniques De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du système d'information : • Contrôle des accès au système d'information ; • Surveillance du réseau : sniffer, système de détection d'intrusion ; • Sécurité applicative : séparation des privilèges, audit de code, rétro ingénierie ; • Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, antipourriel (SPAM), anti-espiogiciel (spyware) ; • Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement. La politique de sécurité de l'information définit les objectifs et les mécanismes d'organisation de sécurité de l'information au sein d'une organisation. La définition des politiques de sécurité suivent au choix les principes de sécurité: confidentialité, intégrité ou disponibilité. Il existe plusieurs modèles formels de sécurité : • Le Modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques ; les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles ; celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité & intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique). • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés. • Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM. Définition Sniffer: appelée Le renifleur peut être un équipement matériel ou un logiciel : le premier est bien plus puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse, l'écart se resserre. Mais le premier est surtout beaucoup plus cher que le second. Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Rétro-ingénierie: rétroconception, ingénierie inversée ou ingénierie inverse, est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou sa méthode de fabrication. UTM : Unified threat management, ou (en français : traitement unifié de la menace) Parmi les fonctionnalités présentes dans un UTM, outre le pare-feu traditionnel, on cite généralement le filtrage anti-spam, un logiciel antivirus, un système de détection ou de prévention d'intrusion (IDS ou IPS), et un filtrage de contenu applicatif (filtrage URL).Toutes ces fonctionnalités sont regroupées dans un même boîtier, généralement appelé appliance. Le Pourriel: où le Spam désigne une communication électronique. La sécurité informatique utilise un vocabulaire bien défini que nous utilisons dans nos articles. De manière à bien comprendre ces articles, il est nécessaire de définir certains termes : • Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
• Les attaques (exploits): elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables. • Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même vulnérabilité). • Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une vulnérabilité.

Recomendados

Ssi
SsiSsi
SsiHanae Guenouni
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleEnterpriseGRC Solutions, Inc.
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 

Recomendados

Ssi
SsiSsi
SsiHanae Guenouni
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleWalk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 rule
Walk This Way: CIS CSC and NIST CSF is the 80 in the 80/20 ruleEnterpriseGRC Solutions, Inc.
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéEyesOpen Association
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...EyesOpen Association
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligenceMarlabs
 
Techowl- Wazuh.pdf
Techowl- Wazuh.pdfTechowl- Wazuh.pdf
Techowl- Wazuh.pdfAbhishekChaudhary518667
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About ComplianceDinesh O Bareja
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightCyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightDeep Shankar Yadav
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report Morane Decriem
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Présentation sur le Data Mining
Présentation sur le Data MiningPrésentation sur le Data Mining
Présentation sur le Data MiningTakfarinas KENOUCHE
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 

Más contenido relacionado

La actualidad más candente

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéEyesOpen Association
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...EyesOpen Association
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier MandyDentzer
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat IntelligenceMarlabs
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About ComplianceDinesh O Bareja
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightCyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightDeep Shankar Yadav
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report Morane Decriem
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Présentation sur le Data Mining
Présentation sur le Data MiningPrésentation sur le Data Mining
Présentation sur le Data MiningTakfarinas KENOUCHE
 

La actualidad más candente (20)

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
Techowl- Wazuh.pdf
Techowl- Wazuh.pdfTechowl- Wazuh.pdf
Techowl- Wazuh.pdf
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About Compliance
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Cyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightCyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to Insight
 
Threat Hunting Report
Threat Hunting Report Threat Hunting Report
Threat Hunting Report
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Présentation sur le Data Mining
Présentation sur le Data MiningPrésentation sur le Data Mining
Présentation sur le Data Mining
 

Destacado

DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit
AuditAudit
Auditzan
 
Cv elachgar hicham_it6
Cv elachgar hicham_it6Cv elachgar hicham_it6
Cv elachgar hicham_it6Elachgar
 

Destacado (9)

DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Audit
AuditAudit
Audit
 
Cv elachgar hicham_it6
Cv elachgar hicham_it6Cv elachgar hicham_it6
Cv elachgar hicham_it6
 

Similar a La sécurité des systèmes d’information

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfFootballLovers9
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 

Similar a La sécurité des systèmes d’information (20)

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
EBIOS
EBIOSEBIOS
EBIOS
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 

La sécurité des systèmes d’information

  • 1. La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information. Introduction à la sécurité Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Le risque en terme de sécurité est généralement caractérisé par l'équation suivante : La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions. Méthodes d'analyse de risque Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français : • la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par la DCSSI ; • la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ; • la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon (USA). Objectifs de la sécurité informatique Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger. La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. La sécurité informatique vise généralement cinq principaux objectifs : • L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ; • La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ; • La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
  • 2. • La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; avec preuve d'émission ou avec preuve de réception • L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. • Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. Moyens de sécurisation d'un système La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible. Ainsi, la sécurité du système d'information doit être abordée dans un contexte global : • la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (security awareness) ; • la sécurité de l'information ; • la sécurité des données, liée aux besoins de cohérence des données en univers réparti ; • la sécurité des réseaux ; • la sécurité des systèmes d'exploitation ; • la sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc. • la sécurité des applications, cela passe par exemple par la programmation sécurisée ; • la sécurité physique, soit la sécurité au niveau des infrastructures matérielles: salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …). Mise en place d'une politique de sécurité La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leurs ont été octroyés. La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes : • Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; • élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation pour les risques identifiés; • définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ; • sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations; • préciser les rôles et responsabilités. La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
  • 3. Moyens techniques De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du système d'information : • Contrôle des accès au système d'information ; • Surveillance du réseau : sniffer, système de détection d'intrusion ; • Sécurité applicative : séparation des privilèges, audit de code, rétro ingénierie ; • Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, antipourriel (SPAM), anti-espiogiciel (spyware) ; • Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement. La politique de sécurité de l'information définit les objectifs et les mécanismes d'organisation de sécurité de l'information au sein d'une organisation. La définition des politiques de sécurité suivent au choix les principes de sécurité: confidentialité, intégrité ou disponibilité. Il existe plusieurs modèles formels de sécurité : • Le Modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques ; les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles ; celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité & intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique). • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés. • Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM. Définition Sniffer: appelée Le renifleur peut être un équipement matériel ou un logiciel : le premier est bien plus puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse, l'écart se resserre. Mais le premier est surtout beaucoup plus cher que le second. Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Rétro-ingénierie: rétroconception, ingénierie inversée ou ingénierie inverse, est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou sa méthode de fabrication. UTM : Unified threat management, ou (en français : traitement unifié de la menace) Parmi les fonctionnalités présentes dans un UTM, outre le pare-feu traditionnel, on cite généralement le filtrage anti-spam, un logiciel antivirus, un système de détection ou de prévention d'intrusion (IDS ou IPS), et un filtrage de contenu applicatif (filtrage URL).Toutes ces fonctionnalités sont regroupées dans un même boîtier, généralement appelé appliance. Le Pourriel: où le Spam désigne une communication électronique. La sécurité informatique utilise un vocabulaire bien défini que nous utilisons dans nos articles. De manière à bien comprendre ces articles, il est nécessaire de définir certains termes : • Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
  • 4. • Les attaques (exploits): elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables. • Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même vulnérabilité). • Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une vulnérabilité.