Concepts généraux de la

sécurité informatique

Pélagie HOUNGUE, PhD

PL AN
 Définitions
 Objectifs
 Critères de base et fonctions de sécurité
 Domaines d’application
 Introduction à la cybersécurité
 Politique de sécurité

Sécurité informatique Pélagie HOUNGUE, PhD 2

 Définitions
 Système d’information
 Organisation des activités consistant à acquérir, stocker, transformer,
diffuser, exploiter, et gérer les informations.
 L'ensemble des informations et des flux d'information dans une entreprise.
 Le système d'information comprend bien souvent les données informatiques
mais pas toujours.
 Le système d'information est beaucoup plus large et peu très bien être
manuel.

 Système informatique
 Le ou les outils informatiques qui traitent l'information
 En général le système informatique est composé du matériel
informatique (Serveurs, postes de travail et réseaux) et des logiciels
installés sur ces matériels.
 Un des moyens techniques pour faire fonctionner et faire véhiculer un
système d’information

Sécurité informatique Pélagie HOUNGUE, PhD 3

Définitions (2)
 La sécurité des systèmes
informatiques
 Les systèmes informatiques sont au cœur des systèmes
d´information.
 Ils sont devenus la cible de ceux qui convoitent l’information.

 Assurer la sécurité de l’information implique l’assurance

de la sécurité des systèmes informatiques.

Sécurité informatique Pélagie HOUNGUE, PhD 4

 Problèmes
 Les types d’incidents les plus graves auxquels sont confrontées les entreprises
sont :
 Panne du système ou corruption des données
 Infection virale ou logiciel destructeur
 Mauvaise utilisation des systèmes d’information par le personnel
 Accès non autorisé par des tiers (y compris des tentatives de piratage)
 Vol physique de l’équipement informatique
 Vol ou fraude à l’aide de l’ordinateur
 Vol ou divulgation non autorisée d’informations confidentielles
 …

Sécurité informatique Pélagie HOUNGUE, PhD 5

Objectifs visés
 La sécurité informatique a plusieurs objectifs, liés aux types de
menaces ainsi qu'aux types de ressources, aux services, etc...
 empêcher la divulgation non-autorisée des données
 empêcher la modification non-autorisée des données
 empêcher l'utilisation non-autorisée des ressources réseau ou
informatiques de façon générale

Sécurité informatique Pélagie HOUNGUE, PhD 6

Critères de bases de la sécurité
Informatique
 La notion de sécurité fait référence à la propriété d’un système, d’un
service ou d’une entité. Elle s’exprime le plus souvent par les objectifs
de sécurité suivants :
 la disponibilité (D) ;
 l’intégrité (I) ;
 la confidentialité (C).
 Ce sont les critères de base
 Il y a également les fonctions de sécurité qui accompagnent ces
critères de base

Sécurité informatique Pélagie HOUNGUE, PhD 7

Disponibilité
 Disponibilité
 La période de temps pendant laquelle le service offert
est opérationnel.
 La capacité d’une ressource à être utilisée
 Déterminée par le volume potentiel de travail susceptible
d’être pris en charge durant la période de disponibilité
d’un service (serveur ou réseau par exemple).

Sécurité informatique Pélagie HOUNGUE, PhD 8

Disponibilité (2)
 Notion d’accessibilité
 Ressources utilisables avec des temps de réponse
acceptables.
 La disponibilité est indissociable de sa capacité à être
accessible par l’ensemble des ayants droit.
 Redondance des infrastructures
 Gestion opérationnelle et une maintenance efficace des
infrastructures, ressources et services.
 Continuité de service
 Un service nominal doit être assuré avec le minimum
d’interruption
 Perte de données
 Outils de restitution de données

Sécurité informatique Pélagie HOUNGUE, PhD 9

Intégrité
 Ce critère est relatif au fait que les ressources
physiques et logiques (équipements, données,
traitements, transactions, services) n’ont pas
été détruites (altération totale) ou modifiées
(altération partielle) à l’insu de leurs
propriétaires tant de manière intentionnelle,
qu’accidentelle.
 Avoir la certitude qu’elles n’ont pas été
modifiées lors de leur stockage, de leur
traitement ou de leur transfert.

Sécurité informatique Pélagie HOUNGUE, PhD 10

Intégrité (2)
 Des contrôles d’intégrité peuvent être
effectués pour s’assurer que les données
n’ont pas été modifiées lors de leur transfert
par des attaques informatiques qui les
interceptent et les transforment (écoutes
actives)
 Utilisation de fonctions de hachage (MD5,
SHA-1) avec le calcul d’une empreinte du
message.

Sécurité informatique Pélagie HOUNGUE, PhD 11

Confidentialité
 « La confidentialité est le maintien du secret des informations… »
(Le Petit Robert).
 Dans le contexte de l’informatique et des réseaux, la notion de
confidentialité peut être vue comme la « protection des données
contre une divulgation non autorisée ».
 Il existe deux types d’actions complémentaires permettant
d’assurer la confidentialité des données :
 Limiter et contrôler leur accès afin que seules les personnes
habilitées à les lire ou à les modifier puissent le faire ;
 Les rendre inintelligibles en les chiffrant de telle sorte que
les personnes qui ne sont pas autorisées à les déchiffrer ne
puissent les utiliser.

Sécurité informatique Pélagie HOUNGUE, PhD 12

Confidentialité (2)
 Le chiffrement (parfois appelé cryptage) est le procédé grâce
auquel on peut rendre la compréhension d'un document
impossible à toute personne qui n'a pas la clé de
« déchiffrement ».
 On distingue deux familles de systèmes de chiffrement :
 Chiffrement symétrique ou à clé privé
 Chiffrement asymétrique ou à clé publique (utilisant une paire de
clés)
 Exemples d’algorithmes de chiffrements
 DES (Data Encryption standard),
 Diffie-Hellman, RSA (Rivest, Shamir, Adleman), …

Sécurité informatique Pélagie HOUNGUE, PhD 13

Fonctions de sécurité
 Fonctions de sécurité contribuent à confirmer :
 d’une part la véracité, l’authenticité d’une action,
entité ou ressource (notion d’authentification)
 d’autre part, l’existence d’une action (notion de
non-répudiation d’une transaction, voire
d’imputabilité)
 Elles concourent à la protection des contenus et des
infrastructures numériques et sont supportées par des
solutions techniques.

Sécurité informatique Pélagie HOUNGUE, PhD 14

Les critères de sécurité
Continuité

Sécurité informatique Pélagie HOUNGUE, PhD 15

Non-répudiation
 La non-répudiation est le fait de ne pouvoir nier ou
rejeter qu’un événement (action, transaction) a eu
lieu.
 À ce critère de sécurité peuvent être associées les
notions d’imputabilité, de traçabilité ou
d’auditabilité.

Sécurité informatique Pélagie HOUNGUE, PhD 16

Imputabilité
 L’imputabilité se définit par l’attribution d’une action
(un événement) à une entité déterminée (ressource,
personne).
 Elle peut être réalisée par un ensemble de mesures
garantissant l’enregistrement fiable d’informations
pertinentes par rapport à une entité et à un
événement.

Sécurité informatique Pélagie HOUNGUE, PhD 17

Traçabilité
 La traçabilité permet de suivre la trace numérique
laissée par la réalisation d’un événement (message
électronique, transaction commerciale, transfert de
données…). Cette fonction comprend l’enregistrement
des événements, de la date de leur réalisation et leur
imputation.
 Elle permet, par exemple, de retrouver l’adresse IP
d’un système à partir duquel des données ont été
envoyées.

Sécurité informatique Pélagie HOUNGUE, PhD 18

Auditabilité
 L’auditabilité se définit par la capacité d’un système à
garantir la présence d’informations nécessaires à
une analyse ultérieure d’un événement effectuée
dans le cadre de procédures de contrôle spécifiques
et d’audit.
 Mis en œuvre pour diagnostiquer ou vérifier l’état
de la sécurité d’un système ou encore pour
déterminer s’il y a eu ou non violation de la
politique de sécurité et détecter les ressources
compromises.
 Cela permet par exemple d’analyser le
comportement du système et des utilisateurs à des
fins d’optimisation, de gestion des incidents, de
recherche de preuves, d’imputation de
responsabilité ou encore d’audit.
Sécurité informatique Pélagie HOUNGUE, PhD 19
Identification et authentification
 Des procédures d’identification et d’authentification peuvent être
mises en œuvre pour contribuer à réaliser des procédures de contrôle
d’accès et des mesures de sécurité assurant :
 la confidentialité et l’intégrité des données : seuls les ayants droit identifiés
et authentifiés peuvent accéder aux ressources (contrôle d’accès) et les
modifier s’ils sont habilités à le faire ;
 la non-répudiation et l’imputabilité : seules les entités identifiées et
authentifiées ont pu réaliser une certaine action (preuve de l’origine d’un
message ou d’une transaction, preuve de la destination d’un message…).

Sécurité informatique Pélagie HOUNGUE, PhD 20

Identification et authentification (2)
 L’authentification doit permettre de vérifier l’identité
d’une entité afin de s’assurer entre autres, de
l’authenticité de celle-ci.
 Pour cela, l’entité devra prouver son identité, le plus souvent en donnant une
information spécifique qu’elle est censée être seule à détenir telle que, par
exemple, un mot de passe ou une empreinte biométrique.

 Les entités à authentifier peuvent être :

 une personne,
 un programme qui s’exécute (processus)
 une machine dans un réseau (serveur ou routeur)

 Tous les mécanismes de contrôle d’accès logique aux

ressources informatiques nécessitent de gérer
l’identification, l’authentification des entités et la
gestion des droits et permissions associées aux
personnes.
Sécurité informatique Pélagie HOUNGUE, PhD 21
DOMAINES D’APPLICATION DE LA SÉCURITÉ
INFORMATIQUE
 En fonction de son domaine d’application la sécurité
informatique se décline en :
 Sécurité physique et environnementale ;
 Sécurité de l’exploitation ;
 Sécurité logique, sécurité applicative et sécurité de
l’information ;
 Sécurité des infrastructures de télécommunication

Sécurité informatique Pélagie HOUNGUE, PhD 22

 Sécurité physique et environnementale
 Concerne tous les aspects liés à la maîtrise des systèmes et de l’environnement
dans lesquels ils se situent.
 La sécurité physique et environnementale repose essentiellement sur :
 la protection des sources énergétiques et de la climatisation (alimentation
électrique, refroidissement, etc.) ;
 la protection de l’environnement;
 des mesures de gestion et de contrôle des accès physiques aux locaux,
équipements et infrastructures;
 l’usage d’équipements qui possèdent un bon degré de sûreté de
fonctionnement et de fiabilité ;
 la redondance physique des infrastructures et sources énergétiques ;
 le marquage des matériels pour notamment contribuer à dissuader le vol de
matériel et éventuellement le retrouver ;
 le plan de maintenance préventive (tests, etc.) et corrective (pièces de
rechange, etc.) des équipements;
 …
Sécurité informatique Pélagie HOUNGUE, PhD 23
Sécurité de l’exploitation
 Concerne le bon fonctionnement opérationnel des systèmes
informatiques.
 Cela comprend la mise en place d’outils et de procédures
relatifs aux méthodologies d’exploitation, de maintenance, de
test, de diagnostic, de gestion des performances, de gestion
des changements et des mises à jour.

Sécurité informatique Pélagie HOUNGUE, PhD 24

Sécurité de l’exploitation (2)
 Les points clés de la sécurité de l’exploitation sont les
suivants :
 gestion du parc informatique ;
 gestion des configurations et des mises à jour ;
 gestion des incidents et suivi jusqu’à leur résolution ;
 plan de sauvegarde ;
 plan de secours informatique, plan de continuité d’activité
(Business Continuity Plan) ;
 plan de tests ;
 analyse des fichiers de journalisation;
 …

Sécurité informatique Pélagie HOUNGUE, PhD 25

 Sécurité logique
 La sécurité logique fait référence à la réalisation de mécanismes de
sécurité par logiciel contribuant au bon fonctionnement des programmes,
des services offerts et à la protection des données.
 Elle s’appuie généralement sur
 la qualité des développements logiciels et des tests de sécurité ;
 une mise en œuvre adéquate de la cryptographie pour assurer
l’intégrité et la confidentialité;
 des procédures de contrôle d’accès logique, d’authentification ;
 des procédures de détection de logiciels malveillants, de détection
d’intrusions et d’incidents ;
 des procédures de redondance ainsi que sur des procédures de
sauvegarde et de restitution des informations sur des supports fiables;
 ….

Sécurité informatique Pélagie HOUNGUE, PhD 26

Sécurité applicative
 La sécurité applicative doit tenir compte des besoins de
sécurité et de robustesse des logiciels, des applications et de
leur contrôle qualité.
 La sécurité applicative comprend le développement
pertinent de solutions logicielles (ingénierie du logiciel,
qualité du logiciel) ainsi que leur intégration et exécution
harmonieuses dans des environnements opérationnels.

Sécurité informatique Pélagie HOUNGUE, PhD 27

Sécurité applicative (2)
 La sécurité applicative repose essentiellement sur l’ensemble des
facteurs suivants :
 une méthodologie de développement (en particulier le respect des
normes de développement propre à la technologie employée et aux
contraintes d’exploitabilité);
 la robustesse des applications ;
 des contrôles programmés ;
 des jeux de tests ;
 un plan de migration des applications critiques ;
 la validation et l’audit des programmes ;
 un plan d’assurance qualité ;
 …

Sécurité informatique Pélagie HOUNGUE, PhD 28

Sécurité des informations
 La sécurité des informations implique
 La protection de l’information
 Comprendre son rôle, son importance;
 Assurer son exactitude et sa pérennité;
 Déterminer le niveau de protection nécessaire aux
informations manipulées, par une classification des
données;
 degré de sensibilité (normale, confidentielle, etc.)
 Assurer le respect de l’intimité (privacy) numérique de
l’utilisateur et de ses données personnelles.
 Assurée par la CNIL (Commission National de
l’Informatique et des Libertés)

Sécurité informatique Pélagie HOUNGUE, PhD 29

 Sécurité des infrastructures de
télécommunication
 La sécurité des infrastructures de télécommunication consiste à offrir à
l’utilisateur final et aux applications communicantes, une connectivité
fiable de « bout en bout ».
 Cela passe par :
 La réalisation d’une infrastructure réseau sécurisée au niveau des accès au
réseau et du transport de l’information,
 Mesures architecturales adaptées,
 L’usage de plates-formes matérielles et logicielles sécurisées et une gestion
de réseau de qualité.

Sécurité informatique Pélagie HOUNGUE, PhD 30

La Cybersécurité
 Un grand nombre d’activités sont réalisées via Internet. L’usage des
technologies de l’Internet, les services offerts, les transactions réalisées
et les données manipulées sont constitutifs du cyberespace.
 Cyberspace
 Tout internaute peut se déplacer (naviguer, surfer), entrer en relation avec
des systèmes et des personnes (via toujours des systèmes et des logiciels
informatiques) et obtenir des services.
 La cybersécurité est un sous-ensemble de la sécurité informatique et des
réseaux appliqués au cyberespace et à tout environnement informatique
connecté à l’Internet.
 Nombreuses cyberattaques informatiques

Sécurité informatique Pélagie HOUNGUE, PhD 31

Politique de sécurité
 Nécessité de définir une politique de sécurité
 Ensemble de règles formalisées auxquelles les personnes ayant accès aux
ressources technologiques et aux S.I. d’une organisation doivent se soumettre
(RFC 2196 Site Security Handbook)
 Deux philosophies pour la mise en place d’une politique :
 Prohibitive : tout ce qui n’est pas explicitement autorisé est interdit.
 Exemple: institutions financières ou militaires

 Permissive : tout ce qui n’est pas explicitement interdit est autorisé.

Sécurité informatique Pélagie HOUNGUE, PhD 32

Bibliographie
 Sécurité informatique, Principes et méthode de Laurent
Bloch et Christophe Wolfhugel
 Fundamentals of Information Systems Security Par
David Kim,Michael Solomon
 Raymond Panko - Sécurité des Systèmes d’information
et des Réseaux - Pearson Education

Sécurité informatique Pélagie HOUNGUE, PhD 33