o La confidentialité: Seules les personnes autorisées ont accès aux

informations qui leur sont destinées.

CH1: introduction à la sécurité
o L’authentification: L'identification des utilisateurs est
fondamentale pour gérer les accès aux espaces de travail
pertinents.
• Un système d’informations(SI) : est un ensemble organisé de ressources
qui permet de collecter, stocker, traiter et distribuer de l'information. o La traçabilité (ou Preuve): garantie que les accès et tentatives
d'accès aux éléments considérés sont tracés et que ces traces sont
• La sécurité des systèmes d’information(SSI): est l’ensemble des moyens
conservées et exploitables.
nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité
de l’information, des systèmes et ressources informatiques contre les o La non-répudiation: Aucun utilisateur ne doit pouvoir contester
menaces atteignant leur confidentialité, intégrité, et disponibilité. les opérations qu'il a réalisées dans le cadre de ses actions
autorisées
• Finalités :
• Risques / Menaces / Vulnérabilité:
o Court terme: chacun (légitime)ait accès aux informations dont il
a besoin o Menace : attaque possible d'un individu ou d'un élément naturel
sur des biens entraînant des conséquences potentielles négatives.
o Moyen terme: la cohérence de l’ensemble du système
d’information. o Vulnérabilité: caractéristique d'une entité qui peut constituer une
faiblesse ou une faille au regard de la sécurité de l'information.
o Long terme: maintenir la confiance des utilisateurs et des clients
Elle peut être:
(image de marque)
▪ organisationnelles
• La pluridisciplinarité de la sécurité:
▪ humaine
o Etique
▪ logicielles ou matérielles
o Législation et réglementation
o Impact: conséquence sur l'organisme de la réalisation d'une
o Technique
menace.
o Méthodologie
o Risque: la potentialité de l'exploitation de vulnérabilité par un
o Normes élément menaçant et de l'impact sur l'organisme.

• Objectifs de la sécurité: • Démarche générale:

o La disponibilité: Le système doit fonctionner sans faille durant o évaluer les risques et leur criticité
les plages d'utilisation prévues et garantir l'accès aux services et
o rechercher et sélectionner les parades
ressources installées avec le temps de réponse attendu.
o mettre en œuvre les protections et vérifier leur efficacité.
o L’intégrité: les éléments considérés doivent être exacts et
complets. • Approche Globale: il faut prendre en compte les aspects suivants:
 o La sensibilisation des utilisateurs aux problèmes de sécurité
o La sécurité logique. CH2: La gestion des risques Concepts et
o La sécurité des télécommunications
o La sécurité physique
méthodes
• La notion de politique de sécurité (PSSI): est un plan d'actions définies • La gestion des risques est définie par l’ISO comme l’ensemble des
pour maintenir un certain niveau de sécurité et se matérialise par un activités coordonnées visant à diriger et piloter un organisme vis-à-vis du
ensemble de documents. risque.

• Les normes et standards: les plus utilisés : • Finalités:

o ISO 27000: pour la mise en place, l'utilisation, la tenue à jour et la o Améliorer la sécurisation des systèmes d’information.
gestion d'une politique de sécurité informatique, de sécurité des o Justifier le budget alloué à la sécurisation du système
systèmes d'information ou SGSI (ISMS) : Système de gestion de d’information.
la sécurité de l'information.
o Prouver la crédibilité du système d’information à l’aide des
o ISO 27002: décrit une approche processus pour la mise en place analyses effectuées.
d’un SMSI (système de management de la sécurité du système
d'information) • Fondements: La gestion des risques se compose de trois blocs
interdépendants:
o ISO 27001: Un projet de mise en place de la sécurité des systèmes
d’information suit la logique de la roue de Deming: o l’organisation en question(ses assets et ses objectifs de
sécurité):
▪ phase PLAN: revient à fixer les objectifs
▪ Les Assets: biens, actifs, ressources ayant de la valeur
▪ phase DO. pour l’organisme et nécessaires à son bon fonctionnement
▪ la phase CHECK: mettre en place des moyens de contrôle. ▪ Asset business: principalement des informations et des
▪ phase ACT: permettra de mener des actions correctives, processus.
préventives et d’amélioration. ▪ Asset system: les éléments techniques mais aussi
l’environnement du système informatique.
o les risques pesant sur ces assets:
▪ Les risques: l’équation du risque:
RISQUE = MENACE * VULNÉRABILITÉ * IMPACT
→ La menace: l’agent responsable du risque
 → La vulnérabilité : la caractéristique d’un asset 5. Sélection des contrôles: Les contrôles sont l’instanciation des
constituant une faiblesse ou une faille au regard de la exigences de bas niveau pour le système cible étudié
sécurité
6. Implémentation des contrôles:
→ L’impact: la conséquence du risque sur l’organisme et
• Les méthodes de gestion des risques: Les plus connues
ses objectifs
o EBIOS (Expression des Besoins et Identification des Objectifs
o les mesures prises ayant pour but de traiter les risques et donc
de Sécurité)
d’assurer un certain niveau de sécurité: Les mesures de sécurité
à mettre en place dépendent de l’activité, de l’organisation et de la
réglementation ainsi que des contraintes de l’écosystème de
l’entreprise.
▪ Politique de traitement de risques: constituée d’exigences
de sécurité permettant de répondre aux risques
• Le processus de gestion des risques:
1. Identification du contexte et des assets
2. Détermination des objectifs de sécurité: spécifier les besoins en
termes de confidentialité, intégrité et disponibilité des assets
3. Analyse des risque: o MEHARI ( Méthode Harmonisée d’Analyse de RIsques)
▪ Les risques ayant une occurrence et un impact faible sont
négligeables
▪ Les risques ayant une forte occurrence et un impact
important ne doivent pas exister
▪ Les risques ayant une occurrence forte et un impact faible
sont acceptés
▪ Les risques ayant une occurrence faible et un impact lourd
sont à transférer
▪ les autres risques, en général majoritaires, sont traités au
cas par cas et sont au centre du processus de gestion des
risques
o MARION ( Méthodologie d’Analyse et de Réduction des
4. Définition des exigences de sécurité: est souvent effectuée de
risques Informatiques Optimisés par Niveau)
manière incrémentale et par raffinement successif
 ▪ Repose sur des questionnaires relatifs à 6 domaines : o L’accès: est une tentative d’accès à l’information par une
personne non autorisée. Ce type d’attaque concerne la
▪ Sécurité organisationnelle
confidentialité de l’information.
▪ Sécurité physique
1. Le sniffing: Cette attaque est utilisée par les pirates
▪ Continuité informatiques pour obtenir des mots de passe.

▪ Organisation informatique 2. Chevaux de Troie: En général, le but d’un cheval de Troie

est de créer une porte dérobée(backdoor) pour qu’un pirate
▪ Sécurité logique et exploitation informatique puisse ensuite accéder facilement
▪ Sécurité des applications l’ordinateur ou le réseau informatique.

▪ Le déroulement: 3. L’ingénierie sociale: n’est pas vraiment une attaque

informatique, c’est plutôt une méthode pour obtenir des
▪ Phase 0: Définition des objectifs de sécurité et du informations sur un système ou des mots de passe.
champ d’action
4. Le craquage des mots de passe: consiste à faire de
▪ Phase 1: Audit des vulnérabilités (questionnaires) nombreux essais jusqu’à trouver le bon mot de passe.
→Rosace
Il existe deux grandes méthodes :
▪ Phase 2: Analyse des risques
▪ L’utilisation de dictionnaires: le mot testé est pris
▪ Phase3: Elaboration du plan d’action dans une liste prédéfinie contenant les mots de
passe les plus courants et aussi des variantes de
ceux-ci
▪ ·La méthode brute: toutes les possibilités sont
CH3: Les attaques faites dans l’ordre jusqu’à trouver la bonne
solution.
• Une attaque: est une activité malveillante qui consiste à exploiter une faille
o La modification: consiste, pour un attaquant à tenter de modifier
d'un système informatique
des informations. Ce type d’attaque est dirigé contre l’intégrité de
• Principe général des attaques l’information.
1. collecte d'informations ▪ Virus, ver, cheval de Troie:
2. repérage des lieux et détermination des vulnérabilités un virus est définit comme un programme caché dans un
autre qui peut s’exécuter et se reproduire en infectant
3. Réalisation de l’attaque
d’autres programmes ou d’autres ordinateurs.
4. Effacement des traces
On classe les virus d’après leur mode de propagation et de
• catégories principales d’attaque : multiplication:
 ▪ Les vers capables de se propager dans le réseau; o CSRF (Cross Site Request Forgery): permet à un attaquant de
forcer ses victimes à effectuer certaines actions sur un site cible,
▪ Les « chevaux de Troie » créant des failles dans
sans qu’elles s’en aperçoivent.
un système;
o Injection SQL: modifier une requête SQL en injectant des
▪ Les bombes logiques se lançant suite à un
morceaux de code non-filtrés, généralement par le biais d'un
événement du système
formulaire.
▪ Les canulars envoyés par mail.
o Le déni de service (par saturation) : consiste à bloquer l'accès
aux sites, sans en altérer le contenu. Ces attaques visent la
disponibilité des informations
0. Le flooding: consiste à envoyer à une machine de
nombreux paquets IP de grosse taille.
1. Le TCP-SYN flooding: variante du flooding qui s’appuie
sur une faille du protocole TCP .
2. Le smurf: s’appuie sur le ping et les serveurs de broadcast
.
3. Le débordement de tampon: se base sur une faille du
protocole IP.
o La répudiation: consiste à tenter de donner de fausses
informations ou de nier qu’un événement ou une transaction se
soient réellement passés. C’est une attaque contre la
responsabilité.
0. Le IP spoofing: consiste à se faire passer pour une autre
machine en falsifiant son adresse IP.
1. Le MAC spoofing: consiste à usurper l'adresse MAC
d'une machine autorisée
• Etude de quelques Attaques applicatives:
o Le Cross Site Scripting (XSS): est une attaque exploitant une
faiblesse d'un site web qui valide mal ses paramètres en entrée.
La faille XSS permet d’exécuter des scripts du coté client.