La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
La sécurité des systèmes d’information
1. La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir
la sécurité de l'information et du système d'information.
Introduction à la sécurité
Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à
l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.
Le risque en terme de sécurité est généralement caractérisé par l'équation suivante :
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis
que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau
d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des
actions mises en oeuvre en prévention de la menace.
Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais
également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un
ensemble de règles clairement définies.
Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de
connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un
aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée
de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques
d'intrusions.
Méthodes d'analyse de risque
Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois
principales méthodes d'évaluation disponibles sur le marché français :
• la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité),
développée par la DCSSI ;
• la méthode MEHARI (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ;
• la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation),
développée par l'Université de Carnegie Mellon (USA).
Objectifs de la sécurité informatique
Le système d'information est généralement défini par l'ensemble des données et des ressources
matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
• L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ;
• La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux
ressources échangées ;
• La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
2. • La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; avec preuve
d'émission ou avec preuve de réception
• L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux
ressources.
• Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments
considérés sont tracés et que ces traces sont conservées et exploitables.
Moyens de sécurisation d'un système
La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins
résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.
Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :
• la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de
conscience » (security awareness) ;
• la sécurité de l'information ;
• la sécurité des données, liée aux besoins de cohérence des données en univers réparti ;
• la sécurité des réseaux ;
• la sécurité des systèmes d'exploitation ;
• la sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux
d'accès, etc.
• la sécurité des applications, cela passe par exemple par la programmation sécurisée ;
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles: salles sécurisées,
lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous
les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format,
structure, occurrences, …).
Mise en place d'une politique de sécurité
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux
données et ressources d'un système, en mettant en place des mécanismes d'authentification et de
contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent
uniquement les droits qui leurs ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs
de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le
système d'information en toute confiance.
C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de
sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :
• Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et
leurs éventuelles conséquences ;
• élaborer des règles et des procédures, installer des outils techniques dans les différents services
de l'organisation pour les risques identifiés;
• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une
intrusion ;
• sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations;
• préciser les rôles et responsabilités.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de
sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car
elle concerne tous les utilisateurs du système.
3. Moyens techniques
De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système
d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non
exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du
système d'information :
• Contrôle des accès au système d'information ;
• Surveillance du réseau : sniffer, système de détection d'intrusion ;
• Sécurité applicative : séparation des privilèges, audit de code, rétro ingénierie ;
• Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, antipourriel
(SPAM), anti-espiogiciel (spyware) ;
• Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement.
La politique de sécurité de l'information définit les objectifs et les mécanismes d'organisation de
sécurité de l'information au sein d'une organisation. La définition des politiques de sécurité suivent au
choix les principes de sécurité: confidentialité, intégrité ou disponibilité.
Il existe plusieurs modèles formels de sécurité :
• Le Modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a
été le plus utilisé pour vérifier la sécurité des systèmes informatiques ; les concepteurs de ce
modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent
dérivés d'autres modèles ; celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de
Dion (gestion d'accès par mandat, confidentialité & intégrité, statique), de Jajodia et Sandhu
(gestion d'accès par mandat, confidentialité, statique).
• Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant
le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur
le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à
l'information : ils mettent en évidence le problème des canaux cachés.
• Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le
modèle SPM.
Définition
Sniffer: appelée Le renifleur peut être un équipement matériel ou un logiciel : le premier est bien plus
puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse,
l'écart se resserre. Mais le premier est surtout beaucoup plus cher que le second.
Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné
à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet
ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions.
Rétro-ingénierie: rétroconception, ingénierie inversée ou ingénierie inverse, est l'activité qui consiste
à étudier un objet pour en déterminer le fonctionnement interne ou sa méthode de fabrication.
UTM : Unified threat management, ou (en français : traitement unifié de la menace) Parmi les
fonctionnalités présentes dans un UTM, outre le pare-feu traditionnel, on cite généralement le filtrage
anti-spam, un logiciel antivirus, un système de détection ou de prévention d'intrusion (IDS ou IPS), et un
filtrage de contenu applicatif (filtrage URL).Toutes ces fonctionnalités sont regroupées dans un même
boîtier, généralement appelé appliance.
Le Pourriel: où le Spam désigne une communication électronique.
La sécurité informatique utilise un vocabulaire bien défini que nous utilisons dans nos articles. De
manière à bien comprendre ces articles, il est nécessaire de définir certains termes :
• Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système
vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
4. • Les attaques (exploits): elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir
plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas
exploitables.
• Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une
vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur
la même vulnérabilité).
• Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant
une vulnérabilité.