REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix-Travail-Patrie Peace-Work-Fatherland
MINISTERE DES ENSEIGNEMENTS MINISTRY OF HIGH EDUCATION
SUPERIEURS
HIGHER INSTITUTE OF
ECOLE SUPERIEURE D’INGENIEURS ENGINEERING AND MANAGEMENT
ET MANAGEMENT D’AFRIQUE FOR CENTRAL AFRICA
CENTRALE
ESIAC
ESIAC

EXPOSE DE SECURITE DES SYSTEMES

D’EXPLOITATION

THEME : GESTION DES VULNERABILITES ET

SECURISATION DES SYSTEMES D’EXPLOITATION

Rédigé et Présenté par :

 NGALLE MICHEL

Elève ingénieur en 5eme Année Génie Informatique Option Génie Logicielle et

Sécurité des Systèmes d’information

Sous la supervision de :

M. DANIEL SERGE
Enseignant de SECURITE DES SYSTEMES
D’EXPLOITATION

Année Académique 2023/2024

 GESTION DES VULNERABILITES ET SECURISATION DES OS

SOMMAIRE
SOMMAIRE.............................................................................................................................................1
LISTE DES FIGURES.............................................................................................................................2
I. GENERALITES AUX SYSTEMES D’EXPLOITATION..........................................................4
DEFINITION…………………………………………………………………………………………...4
ROLE………………………………………………………………………………………………......4
CLASSE DE SYSTEME D'EXPLOITATION…………………………………………………….......5
FONCTIONS DE BASE D'UNS SYSTEME D'EXPLOITATION…………………………………….5
IMPORTANCE DE LA SECURITE DES OS………………………………………………………….6
II. PRINCIPES DE BASE DE LA SECURITE DES SYSTEMES D’EXPLOITATION………...6
VULNERABILITES COURANTES DANS LES OS………………………………………………….6
MECANISMES DE PREVENTION ET PROTECTION………………………………………………7
III. SECURITE DANS LES ENVIRONNEMENTS LINUX........................................................7
PRESENTATION DE LINUX.................................................................................................................7
ARCHITECTURE DE SECURITE LINUX…………………………………………………………...8
PERMISSION DE GESTION ET DROIT D'ACCES…………………………………………………10
IV. GESTION D’ACCES DANS LES OS………………………………………………………..13
MODELE DE CONTROLE D'ACCES………………………………………………………………..14
V. GESTION UTILISATEURS ET GROUPES SUR LINUX…………………………………..14
GESTION UTILISATEURS ET GROUPES………………………………………………………….15
GESTION DES COMPTES SOUS LINUX…………………………………………………………...15
VI. MECANISMES DE SECURITES AVANCES DANS LES OS……………………………...16
SANDBOXING ET ISOLATION DES PROCESSUS………………………………………………..16
ILLUSTRATION DE WINDOWS SANDBOX DANS WINDOWS 2011…………………………..17
CONTENEURISATION ET VIRTUALISATION…………………………………………………....22
VII. GESTION DES CORRECTIFS ET MISES A JOUR………………………………………...24
IMPORTANCE DES PATCHS DE SECURITE……………………………………………………...24
OUTILS DE GESTION DES CORRECTIFS ET MISES A JOUR…………………………………..26
CONCLUSION......................................................................................................................................28
BIBLIOGRAPHIE..................................................................................................................................29

P a g e 1 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

LISTE DES FIGURES

Figure 1 : UBUNTU LINUX......................................................................................................8
Figure 2 : LECTURE D’UN FICHIER....................................................................................12
Figure 3 : ACCES A UN REPERTOIRE.................................Error! Bookmark not defined.
Figure 4 : PARAMETRES BIOS..............................................Error! Bookmark not defined.
Figure 5 : PANNEAU DE FONCTIONNALITE WINDOWS Error! Bookmark not defined.
Figure 6 : CLIC SUR FONCTIONNALITE WINDOWS........Error! Bookmark not defined.
Figure 7 : INSTALLATION DE WINDBOX SANDBOX…………………………………..20
Figure 8 : CLIC SUR REDEMARRER MAINTENANT……………………………………21
Figure 9 : OUVERTURE D'UN FICHIER DANS LE BAC A SABLE……………………..21
Figure 10 : FENETRE WINDBOX SANDBOX……………………………………………..22
Figure 11 : SOLARWINDS PATCH MANAGER…………………………………………..26
Figure 12 : MANAGEENGINE PATCH MANAGER………………………………………26
Figure 13 : IVANTI SHAVLIK………………………………………………………………27

P a g e 2 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

INTRODUCTION
De nos jours, l’évolution de l’informatique et des technologies de l’information
amènent considérablement de nouvelles menaces et possibles failles de sécurité dans
les systèmes (d’exploitation, informatique, d’information…) des entreprises ou d’un
particulier, ainsi ces systèmes sont sur la menace constante de potentielles
vulnérabilités et cyberattaques. Afin de pouvoir pallier à ces différentes vulnérabilités
les décideurs ont besoin de solutions, méthodes ou outils efficaces afin de mieux gérer
ces vulnérabilités dans nos différents systèmes d’exploitation. Dans ce C’est dans cette
lancée que nous nous sommes particulièrement intéressés en ce qui concerne la gestion
de ces vulnérabilités et sécurisation de nos systèmes d’exploitation, ainsi notre devoir
consistera à faire une présentation générale des systèmes d’exploitation, les différentes
failles et vulnérabilités dans nos systèmes d’exploitation, des moyens de protection et
prévention, L’environnement Linux et la gestion de sa sécurité ainsi que l’évaluation
de plusieurs types de procédés face à ces vulnérabilités.

P a g e 3 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

I. GENERALITES AUX SYSTEMES D’EXPLOITATION

1. Définition

Un système exploitation (Operating System en anglais ou OS) est un ensemble de

programmes qui permettent le fonctionnement et l’utilisation des principales ressources de
l’ordinateur (mémoire, disque dur, processeur). Il sert de pont entre ces composants et les
logiciels ou applications qui vont permettre à l’utilisateur de profiter des fonctionnalités de
son appareil. Le système d’exploitation est composé d’un noyau (kernel) où sont regroupés
tous les programmes basiques du système, d’une interface (shell) qui joue le rôle
d’intermédiaire entre l’utilisateur et le système d’exploitation et d’un système de fichiers (File
System ou FS) pour la gestion des données. D’autres programmes appelés pilotes génériques
sont souvent inclus dans le système d’exploitation afin de permettre l’interaction avec de
nouveaux périphériques (clavier, souris imprimante, haut-parleur, manette de jeu, disque dur,
etc.). Ils assurent ainsi le flux d’entrées et de sorties. Comme le système d’exploitation joue le
rôle d’interface entre toutes les ressources et les applications, l’utilisateur bénéfice d’un gain
de temps considérable qu’il n’aurait pas s’il devait se connecter directement à chaque
programme.

2. ROLE

Un SE résout les problèmes relatifs à l’exploitation de l’ordinateur en garantissant :

 Une gestion efficace, fiable et économique des ressources physiques de l’ordinateur

(notamment les ressources critiques telles que processeur, mémoire…) : il ordonne et
Contrôle l'allocation des processeurs, des mémoires, des icônes et fenêtres, des
périphériques, des réseaux entre les programmes qui les utilisent. Il assiste les programmes
utilisateurs. Il protège les utilisateurs dans le cas d'usage partagé.

 Il propose à l'utilisateur une abstraction plus simple et plus agréable que le matériel :
une machine virtuelle permettant l’interaction avec les utilisateurs en leur présentant
une machine plus simple à exploiter que la machine réelle
 Gérer le processeur : c'est-à-dire gérer l'allocation du processeur entre les différentes
applications grâce à un algorithme d'ordonnancement.

P a g e 4 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Gérer la mémoire : c'est-à-dire gérer l'espace mémoire alloué à chaque application et,
le cas échéant, à chaque usager.
 En cas d'insuffisance de mémoire physique (RAM), le système d'exploitation peut
créer une zone mémoire sur le disque dur, appelée mémoire virtuelle.
 Gérer les entrées/sorties : c'est-à-dire gérer l'accès des programmes aux ressources
matérielles par l'intermédiaire des pilotes.
 Gérer l'exécution des applications : c'est-à-dire s'assurer de la bonne exécution des
applications en leur affectant les ressources nécessaires à leur bon fonctionnement,
mais aussi permettre de tuer une application ne répondant plus correctement, par
exemple.
 Gérer les fichiers : c'est-à-dire gérer la lecture et l'écriture dans le système de fichiers
et les droits d'accès aux fichiers par les utilisateurs et les applications.

3. Classes de systèmes d’exploitation

 Mono- tâche (DOS) : A tout instant, un seul programme est exécuté ; un autre

Programme ne démarrera, sauf conditions exceptionnelles, que lorsque le premier sera

terminé.
 Multi- tâches (Windows, Unix, Linux, VMS) : plusieurs processus (i. e. un
« programme» en cours d’exécution) peuvent s’exécuter simultanément (systèmes multi-
Processeurs) ou en quasi- parallélisme (systèmes à temps partagé)
 Mono- session (Windows 98,2000) : au plus un utilisateur à la fois sur une machine.
Les systèmes réseaux permettent de différencier plusieurs utilisateurs, mais chacun d’eux
utilise de manière exclusive la machine (multi- utilisateurs, mono- session)
 multi- sessions (Windows XP, Unix, Linux, VMS) : Plusieurs utilisateurs peuvent
travailler simultanément sur la même machine
4. Fonctions de base d’un système d’exploitation :
Les principales fonctions assurées par un SE sont les suivantes :
 Gestion de la mémoire principale et des mémoires secondaires,
 Exécution des E/S (périphériques) à faible débit ou haut débit
 Multiprogrammation, temps partagé, parallélisme
 Interruption, ordonnancement, répartition en mémoire, partage des données,
 Lancement des outils du système (compilateurs, environnement utilisateur...)
P a g e 5 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Lancement des outils pour l'administrateur du système

 Protection, sécurité ;
 Réseaux
5. Importance de la sécurité des OS
 Une protection des données personnels (vol de données, perte de données ou altération de
donnes
 Bon fonctionnement des processus (traitement des données, lecture et écriture de fichiers
etc…)
 Une sécurité réseau et un système robuste,
 Protection contre les menaces (virus, ransomwares, cheval de Troie etc…)
 Perte de données
 Assurer une pérennité du système le long de son utilisation
 Une gestion efficace, fiable et économique des ressources physiques de l’ordinateur
(notamment les ressources critiques telles que processeur, mémoire etc…

II. PRINCIPES DE BASE DE LA SECURITE DES SYSTEMES

D’EXPLOITATION
1. Vulnérabilités courantes dans les os
Les cyber attaquants disposent de diverses techniques pour exploiter les vulnérabilités des
systèmes d’exploitation. Ils peuvent par exemple lancer des attaques par injection, utiliser des
logiciels malveillants, ou encore exécuter des scripts automatisés pour s’introduire dans un
système non protégé. Voici les méthodes d’exploitation les plus communes:
 Phishing et ingénierie sociale,
 Exploitation de failles connues (exploits),
 Attaques par force brute,
 Utilisation de backdoors et de rootkits
Les vulnérabilités peuvent prendre plusieurs formes, et il est important de les connaître pour
mieux les contrecarrer. Voici une liste non exhaustive des types de vulnérabilités les plus
fréquemment rencontrées dans les systèmes d’exploitation:
 Failles de sécurité dans le logiciel
 Erreurs de configuration systeme
 Problèmes de droits d’accès inappropriés
 Manque de mises à jour régulières

P a g e 6 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Exécution de code arbitraire

 Le déploiement de logiciels non testés : Les vulnérabilités informatiques proviennent
souvent de la négligence ou de l'inexpérience d'un programmeur. Si les nouveaux logiciels
ou les mises à jour sont déployés sans être testés, cela peut entraîner des conflits de
logiciels ou des vulnérabilités de sécurité à distance
 L’utilisateur envoie une quantité excessive de données à une application, ce qui peut
causer un débordement de mémoire et permettre à l'attaquant d'exécuter du code
malveillant.
2. Mécanismes de protection et de préventions
La protection contre les vulnérabilités des systèmes d’exploitation passe par la mise en œuvre
de pratiques de sécurité robustes et la sensibilisation des utilisateurs. Les mesures suivantes
sont essentielles pour renforcer la sécurité d’un système informatique :
 Installation régulière de mises à jour de sécurité
 Utilisation de solutions antivirus performantes
 Configuration minutieuse des droits d’accès
 Formation continue des utilisateurs sur les menaces et bonnes pratiques

III. SECURITE DANS LES ENVIRONNEMENTS LINUX

1. Présentation de Linux
Linux® est un système d'exploitation Open Source, Tous les systèmes d'exploitation basés sur
Linux incluent un noyau Linux, qui gère les ressources matérielles, ainsi qu'un ensemble de
paquets logiciels qui composent le reste du système d'exploitation. Les entreprises peuvent
aussi décider d'exécuter leur système d'exploitation Linux sur un serveur [Link] système
d'exploitation comprend certains composants élémentaires, comme les outils GNU, entre
autres. Ces outils permettent notamment à l'utilisateur de gérer les ressources fournies par le
noyau, d'installer des logiciels supplémentaires et de configurer les paramètres de
performances et de sécurité, Linux fournit plusieurs distributions tels que :
 Android
 Arch Linux
 CentOS
 Debian
 Elementary OS
 Fedora Linux
 Gentoo Linux
P a g e 7 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Kali Linux
 Linux Lite
 Linux Mint
 Manjaro Linux

Fig 1 : Ubuntu Linux

2. Architecture de sécurité de LINUX

Voici les bonnes pratiques de base en matière de sécurité des serveurs Linux. Bien que ces
considérations soient importantes pour la sécurité des serveurs Linux :

 Chiffrez les communications de données vers et depuis votre serveur Linux.

Utilisez SCP, SSH, rsync ou SFTP pour les transferts de fichiers. Évitez d'utiliser des
services tels que FTP, Telnet, etc., car ils ne sont pas sécurisés. Pour maintenir une
connexion sécurisée (HTTPS), installez et configurez un certificat SSL sur votre
serveur.
 Minimisez les logiciels pour réduire les vulnérabilités dans Linux et effectuez
régulièrement des audits de sécurité : n'installez pas de logiciels inutiles afin d'éviter

P a g e 8 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

d'introduire des vulnérabilités provenant de logiciels ou de packages. Si possible,

identifiez et supprimez tous les paquets indésirables.

 Maintenez le noyau Linux et les logiciels à jour.

L'application de correctifs de sécurité est un élément important de la maintenance de votre
serveur Linux. Linux fournit tous les outils nécessaires pour maintenir votre système à
jour. Linux permet également des mises à niveau faciles entre les versions. Vérifiez et
appliquez toutes les mises à jour de sécurité dès que possible et assurez-vous d'effectuer la
mise à jour vers la dernière version du noyau disponible. Utilisez les gestionnaires de
paquets respectifs en fonction de vos distributions Linux, tels que yum, apt-get ou dpkg,
pour appliquer toutes les mises à jour de sécurité.

 Utilisez les extensions de sécurité Linux.

Linux est doté de diverses fonctions de sécurité que vous pouvez utiliser pour vous
protéger contre les programmes mal configurés ou compromis. Si possible, utilisez
SELinux et d'autres extensions de sécurité Linux pour appliquer des limitations sur le
réseau et d'autres programmes. Par exemple, SELinux fournit différentes politiques de
sécurité pour le noyau Linux.
 Désactivez la connexion racine.
Il est recommandé de ne pas se connecter en tant qu'utilisateur racine. Vous devez
utiliser sudo pour exécuter les commandes au niveau racine si nécessaire. Sudo
améliore considérablement la sécurité du système sans partager les informations
d'identification avec d'autres utilisateurs et administrateurs.
 Recherchez les ports réseau d'écoute à l'aide de SS ou de netstat et fermez ou
limitez tous les autres ports.
Il est important de faire attention aux ports qui écoutent sur les interfaces réseau du
système. Cela peut se faire via ss ou netstat. Tous les ports ouverts peuvent être la
preuve d'une intrusion.
 Configurez le pare-feu Lightsail et les pare-feu au niveau du système
d'exploitation sur les serveurs Linux afin de renforcer la sécurité.
Utilisez le pare-feu Lightsail pour filtrer le trafic et n'autoriser que le trafic nécessaire
vers votre serveur. Le pare-feu au niveau du système d'exploitation est un programme
d'application de l'espace utilisateur qui vous permet de configurer les pare-feu fournis

P a g e 9 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

par le noyau Linux. Vous pouvez utiliser iptables, ufw, firewalld, etc., en fonction de
votre distribution Linux.
 Utilisez auditd pour la comptabilité du système.
Linux fournit un auditd pour l'audit du système. Auditd écrit les enregistrements
d'audit sur le disque. Il surveille également diverses activités du système, telles que les
connexions système, les authentifications, les modifications de comptes et les refus
SELinux. Ces enregistrements aident les administrateurs à identifier les activités
malveillantes ou les accès non autorisés.
 Installez un système de détection des intrusions (IDS).
Utilisez fail2ban ou denyhost en tant qu'IDS. Fail2ban et denyhost analysent les
fichiers journaux à la recherche d'un trop grand nombre de tentatives de connexion
infructueuses et bloquent toute adresse IP qui montre des signes d'activité
malveillante.
 Créez régulièrement des sauvegardes.
 Évitez de fournir aux utilisateurs, groupes et autres entités des autorisations de
lecture, d'écriture et d'exécution (777) pour les fichiers et répertoires.
Vous pouvez utiliser chmod pour restreindre l'accès aux fichiers et aux répertoires, tels
que le répertoire racine web, la racine du document, et plus encore. Modifiez les
autorisations pour fournir l'accès aux utilisateurs autorisés uniquement.

Les systèmes d'exploitation inspirés d'Unix (dont Linux fait partie) possèdent la
capacité de définir de façon poussée la gestion de droits d'accès aux divers fichiers de
votre OS. Les droits d'accès définissent la possession d'un fichier ou d'un répertoire1)
à un utilisateur et à un groupe d'utilisateurs. Ils gèrent aussi quelles actions les
utilisateurs ont le droit d'effectuer sur les fichiers, selon qu'ils sont propriétaire du
fichier, membre du groupe propriétaire du fichier ou ni l'un ni l'autre. La possession et
la gestion des perm ar la propriété d'un fichier, on désigne à quel utilisateur appartient
le fichier, qui le possède. À partir de cette possession (ou non), il sera ensuite possible
de définir des permissions d'accès sur le fichier.

3. Permissions et Gestion de droit d’accès

La possession d'un fichier se définit sur trois catégories :
 L’utilisateur propriétaire du fichier (u). Il s'agit généralement du créateur du fichier.
(Prenez note qu'un fichier créé par une commande exécutée à l'aide de sudo appartiendra à

P a g e 10 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

l'utilisateur root ; vous serez potentiellement amené à devoir changer le propriétaire de ce

fichier pour pouvoir vous en servir avec votre propre compte utilisateur.)
 Le groupe propriétaire du fichier (g) : Si un utilisateur est membre d'un certain groupe qui
possède la propriété d'un fichier, l'utilisateur aura aussi certaines permissions particulières
sur ce fichier.
 Les autres, other, le reste du monde (o). :Bref, tout un chacun n'étant ni propriétaire du
fichier, ni membre du groupe propriétaire du fichier. permissIssions associées s'effectue
individuellement avec chaque fichier.
Les permissions désignent ce que les diverses catégories d'utilisateurs (propriétaire d'un
fichier, membres du groupe propriétaire d'un fichier et le reste du monde) ont l'autorisation
d'effectuer sur un fichier donné. Par exemple, une catégorie d'utilisateurs peut avoir accès en
lecture et écriture à un fichier, alors qu'une autre catégorie a accès en lecture seulement à ce
même fichier. Les permissions se définissent sur trois niveaux :
 La lecture d'un fichier : cette permission est nécessaire pour pouvoir accéder au contenu
d'un fichier (écouter une piste audio, visionner un film, lire un texte, lister le contenu (ls)
naviguer à l'intérieur d'un répertoire…). Cette permission est notée r (pour Read, lire)
 L’écriture dans un fichier : cette permission est nécessaire pour pouvoir apporter des
modifications à un fichier (corriger un texte et enregistrer les changements ; effacer les
"yeux rouges" dans une photo et enregistrer la correction ; ajouter, modifier, renommer ou
supprimer un fichier dans un dossier ; etc.). Cette permission est notée w (pour write,
écrire).
 L’exécution d'un fichier : cette permission est nécessaire particulièrement pour les
logiciels, afin qu'ils puissent être exécutés. Cette permission est notée x (pour execute,
exécuter). Pour un répertoire, la permission "x" permet d'en faire le répertoire courant
(cd).
Exemple : Cas de Ubuntu
Sous Ubuntu faites un clic droit sur un fichier ou répertoire puis choisissez propriétés.
Rendez-vous dans l'onglet permissions.

P a g e 11 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Pour un fichier  Pour un répertoire

Fig 2: Lecture d’un fichier

Fig 3 : Accès à un répertoire

 Pour le Propriétaire et le Groupe, vous pouvez choisir dans le menu

déroulant correspondant de donner les droits en lecture et écriture ou lecture
seule.
Pour les Autres, vous pouvez choisir entre lecture et écriture, lecture seule et
aucun. Vous pouvez choisir le groupe auquel appartient le fichier (par défaut,
le groupe du propriétaire, sauf cas particulier).
 Lorsqu'il s'agit d'un répertoire, pour le Propriétaire et Groupe vous pouvez
choisir entre Création et suppression des fichiers, Accès aux fichiers, et
Pour les Autres, vous pouvez choisir entre Création et suppression des
fichiers, Accès aux fichiers, Lister seulement les fichiers et Aucun.

La section suivante (en ligne de commande) détaille un peu plus les différentes
possibilités de permissions.

En ligne de commande
P a g e 12 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

Les droits des fichiers d'un répertoire peuvent être affichés par la commande

ls -l

Les droits d'accès apparaissent alors comme une liste de 10 symboles. :

drwxr-xr-x

Le premier symbole peut être -, d, soit l, entres autres

 -: fichier classique
 d : directory : répertoire
 l : link : lien symbolique
 c : character : périphérique de type caractère
 b : block : périphérique de type bloc
 p: pipe : tube, tuyau ou file (d'attente)
 s : socket

Suivent ensuite 3 groupes de 3 symboles chacun, indiquant si le fichier (ou répertoire)

est autorisé en lecture, écriture ou exécution. Les 3 groupes correspondent, dans cet
ordre, aux droits du propriétaire, du groupe puis du reste des utilisateurs. Dans le
paragraphe introductif, vous aurez remarqué des lettres en gras dans les termes
anglais. Ce sont ces lettres qui sont utilisées pour symboliser les dites permissions. Si
la permission n'est pas accordée, la lettre en question est remplacé par « - ». Si l'on
reprend les lettres données pour lecture/écriture/exécution (read/write/execute), nous
obtenons: rwx.

Une autre commande très pratique permet de visualiser d'un coup les droits (et les
propriétaires) de tous les répertoires parents (voir chemins) d'une ressource spécifique:
namei -mo /chemin/

IV. GESTION D’ACCES DANS LES OS

Le contrôle d’accès est un élément incontournable de la sécurité qui détermine qui est autorisé
à accéder à certaines données, applications et ressources, et dans quelles circonstances. De la
même manière que les clés et les listes d’invités pré-approuvés protègent les espaces

P a g e 13 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

physiques, les stratégies de contrôle d’accès protègent les espaces numériques. En d’autres
termes, elles laissent entrer les bonnes personnes mais pas les mauvaises. Les stratégies de
contrôle d’accès reposent en grande partie sur des techniques telles que l’authentification et
l’autorisation, qui permettent aux organisations de vérifier explicitement que les utilisateurs
sont bien ceux qu’ils prétendent être et que ces utilisateurs se voient accorder le niveau
d’accès approprié en fonction du contexte (appareil, emplacement, rôle, etc.). Le contrôle
d’accès empêche le vol d’informations confidentielles, telles que les données des clients et la
propriété intellectuelle, par des acteurs malveillants ou d’autres utilisateurs non autorisés. Il
réduit également le risque d'exfiltration de données par les employés et prévient les menaces
émanant du web. Plutôt que de gérer les autorisations manuellement, la plupart des
organisations axées sur la sécurité s’appuient sur des solutions de gestion des identités et des
accès pour mettre en œuvre des stratégies de contrôle d’accès.

1. Modèles de contrôles d’accès

 Contrôle d'accès discrétionnaire (DAC) : dans les modèles DAC, chaque objet d'un
système protégé a un propriétaire, et celui-ci accorde l'accès aux utilisateurs à sa
discrétion. Le contrôle d’accès discrétionnaire permet un contrôle au cas par cas des
ressources.
 Contrôle d’accès obligatoire (MAC) : dans les modèles MAC, les utilisateurs se voient
accorder un accès sous forme d’autorisation. Une autorité centrale régule les droits
d'accès et les organise en niveaux, qui s'étendent uniformément. Ce modèle est très
courant dans les contextes gouvernementaux et militaires.
 Contrôle d’accès en fonction du rôle (RBAC) : Dans les modèles RBAC, les droits
d'accès sont accordés selon des fonctions métier définies, plutôt que de l'identité ou de
l'ancienneté des personnes. L'objectif consiste à fournir aux utilisateurs les seules
données dont ils ont besoin pour exercer leurs fonctions, et pas plus.
 Contrôle d’accès en fonction de l’attribut (ABAC) : Dans les modèles ABAC, l'accès
est accordé de manière flexible en fonction d'une combinaison d'attributs et de
conditions environnementales, telles que l'heure et le lieu. Le contrôle d’accès en
fonction de l’attribut est le modèle de contrôle d’accès le plus

V. GESTION UTILISATEURS ET GROUPES SUR LINUX

P a g e 14 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

1. Gestion utilisateurs et groupes

Dans la Ligne de commande :

 Afficher la liste des utilisateurs : compgen -u ou cut -d: -f1 /etc/passwd

 Ajouter un utilisateur au système : sudo useradd nom_utilisateur
 Suppression d'un utilisateur : sudo userdel nom_utilisateur
 Créer un groupe: groupadd -g group-ID group-name
 Afficher la liste des groupes : compgen -g
 Suppression d’un utilisateur : sudo userdel nom_utilisateur
 Suppression d’un groupe : sudo groupdel nom_groupe
 Ajouter un utilisateur à un groupe : sudo adduser nom_utilisateur
nom_groupe

2. Gestion des comptes sous LINUX

 Modifier l'identifiant d'un compte d'utilisateur : Cette modification s'effectue à partir d'un
autre compte administrateur que le compte modifié. Aucune session du compte modifié ne
doit être active : sudo usermod --login identifiant_nouveau_compte_a_modifier --
home /home/identifiant_nouveau_compte_a_modifier--move-home
identifiant_initial_compte_a_modifie
 Modifier l'identifiant de l'unique compte administrateur : La modification ne peut pas
s'effectuer pendant que la session est active. Il convient donc de redémarrer l'ordinateur en
mode de récupération (recovery mode) puis d'ouvrir une session en mode super-
utilisateur : usermod --login nouvel_identifiant --home /home/nouvel_identifiant --
move-home ancien_identifiant exit
 Modification de l'identifiant de groupe : sudo groupmod --new-name nouveau_nom
nom_actuel
 Verrouillage d'un compte : usermod --expiredate 1 nom_utilisateur
 Modification du mot de passe de l’utilisateur courant : la commande passwd

usr@lepc: ~$ passwdChangement du mot de passe pour usr.

Mot de passe UNIX (actuel) :

Entrez le nouveau mot de passe UNIX :

P a g e 15 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

Retapez le nouveau mot de passe UNIX :

passwd : le mot de passe a été mis à jour avec succès

VI. MECANISMES DE SECURITES AVANCES DANS LES OS

1. Sandboxing et isolation des processus

Le sandboxing fait référence à une technique utilisée pour isoler des logiciels ou des fichiers
potentiellement malveillants ou non fiables du reste d’un système informatique ou d’un
réseau. Il fournit un environnement contrôlé et sécurisé, communément appelé “sandbox”,
dans lequel ces entités suspectes peuvent être exécutées ou analysées sans présenter de risque
pour le système hôte, Le sandboxing est largement utilisé pour analyser des programmes non
testés ou non fiables et est destiné à empêcher les dangers d’entrer dans le réseau. Afin
d’éviter toute infection ou tout dommage à l’ordinateur hôte ou au système d’exploitation, le
sandboxing maintient le code confiné dans un environnement de test, Comme son nom
l’indique, cet environnement de test fermé sert en quelque sorte de bac à sable, vous
permettant d’expérimenter différents paramètres et d’observer comment le logiciel réagit. De
plus, il s’agit d’un environnement sécurisé où les erreurs n’affecteront pas activement vos
périphériques hôtes

2. Types de Sandbox

Il existe différents types de Sandboxes, chacun répondant à des besoins et scénarios

spécifiques. Voici quelques types courants de sandboxe :

 Sandbox au niveau du système d’exploitation : Ils sont mis en œuvre au niveau du

système d’exploitation et isolent les processus les uns des autres. Chaque processus
fonctionne dans son propre environnement restreint, empêchant toute interférence avec
d’autres processus.
 Sandbox au niveau de la machine virtuelle : Ils créent de véritables machines virtuelles
(VM) qui exécutent un système d’exploitation distinct au-dessus du système
d’exploitation hôte. Chaque VM est autonome et isolée, ce qui permet à plusieurs
environnements virtuels de coexister sur la même machine physique.

P a g e 16 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Sandbox d’applications : Ils isolent les applications individuelles du reste du système afin
de s’assurer que leurs actions sont contenues. Ils peuvent être utilisés pour tester des
logiciels potentiellement risqués ou pour fournir une couche de sécurité supplémentaire.
 Sandbox pour navigateurs web : Il s’agit d’un type spécifique de Sandbox d’application
qui se concentre sur les navigateurs web, isolant les pages web et les extensions de
navigateur du système sous-jacent.
 Cloud Sandbox : Il s’agit d’environnements virtualisés fournis par les plateformes
d’informatique en nuage afin de créer des espaces isolés pour les tests et le
développement. Les utilisateurs peuvent expérimenter des applications sans affecter les
systèmes de production.

3. Fonctionnement

Le sandboxing fonctionne en créant un environnement isolé et sécurisé pour exécuter des

fichiers ou des programmes potentiellement dangereux sans affecter le système hôte.
L’objectif principal du sandboxing est de détecter et de mitiger les menaces avant qu’elles
puissent s’infiltrer dans le système d’exploitation ou le réseau réel. Lorsqu’un fichier
suspect est introduit dans le sandbox, son comportement est étroitement surveillé. Le
sandbox enregistre toutes les actions que le fichier tente d’effectuer, telles que les appels
système, les modifications de fichiers, les communications réseau, et plus encore. Le
processus d’analyse du sandbox repose sur l’observation en temps réel du comportement
du fichier pendant son exécution. Cette analyse dynamique permet aux professionnels de
la sécurité d’identifier tout comportement malveillant ou non autorisé qui pourrait être
manifesté pendant son exécution, Le sandboxing utilise également des techniques
d’analyse de signature et d’heuristique pour identifier les modèles ou les comportements
de logiciels malveillants connus. Cette approche permet de détecter et de mettre en
quarantaine les menaces déjà rencontrées par le passé, Cependant, l’un des avantages les
plus importants du sandboxing est sa capacité à détecter les menaces “zero-day”, c’est-à-
dire les menaces inconnues qui ne disposent pas d’une signature pour être reconnues par
les logiciels antivirus traditionnels. En observant le comportement de ces menaces, les
sandboxes peuvent aider à identifier et à se prémunir contre les dangers émergents.

4. Illustration de Windows Sandbox dans Windows 11

P a g e 17 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

Sandbox, aussi appelé Bac à sable, s’exécute comme n’importe quelle application et permet
de créer un mini-Windows dans Windows de manière temporaire, totalement verrouillé, et
complètement isolé du reste du système d’exploitation. Vous pouvez alors l’utiliser pour
ouvrir des fichiers suspects sans risquer la sécurité de votre machine. Cerise sur le gâteau,
après chaque utilisation, Windows Sandbox supprime l’ensemble les données générées.
L’outil est ainsi toujours prêt à l’emploi, Néanmoins, l’utilisation de Windows Sandbox
nécessite quelques pré-requis. L’application, qui n’est pas activée par défaut dans l’OS, n’est
en effet disponible que sur la version Professionnelle de Windows 11. Par ailleurs, elle
requiert l’activation de la technologie de virtualisation au sein du BIOS du PC.

 Vérifiez si la virtualisation est activée : si vous utilisez Windows 11, il y a de fortes

chances que la virtualisation soit déjà activée par défaut sur votre machine. Vous pouvez
toutefois le vérifier très facilement en accédant au BIOS de votre PC. Si la ligne
Virtualization Technology (généralement présente dans les options avancées,
“Advanced“, du BIOS), indique Enable, cela signifie que la virtualisation est active.

Fig 4 : Paramètres BIOS

Si la ligne indique Disabled, vous devez en revanche changer ce paramètre pour le passer sur
Enabled, puis redémarrer votre PC pour que les modifications soient prises en compte.

P a g e 18 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

L’accès au BIOS ou à l’UEFI de votre PC se fait généralement en appuyant sur la touche

Echap, F1, F2, F8 ou F10. Si vous ne savez pas comment procéder sur votre PC, consultez le
support de son fabricant.

 Accédez aux fonctionnalités facultatives : Le bac à sable n’est pas activé par défaut sur
Windows 11 Pro. Vous devez en effet l’installer depuis le panneau des fonctionnalités
supplémentaires de Windows, Pour ce faire, ouvrez les Paramètres de Windows à l’aide
du raccourci Windows + i, sélectionnez Applications dans la colonne de gauche, puis
entrez dans le menu dédié aux Fonctionnalités facultative

Fig 5 : Panneau de fonctionnalité Windows

Faites ensuite défiler toutes les options affichées, puis tout en bas de la fenêtre, cliquez sur
Plus de fonctionnalités Windows.

P a g e 19 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

Fig 6 : Clic sur Fonctionnalités Windows

 Activez le Bac à sable :la fenêtre des Fonctionnalités de Windows qui s’ouvre, repérez la
ligne Bac à sable Windows, cochez l’option et cliquez sur le bouton OK pour lancer son
installation dans Windows 11.

Fig 7: Installation de Windows Sandbox

P a g e 20 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

Cliquez ensuite sur le bouton Redémarrer maintenant pour redémarrer votre PC afin que les
modifications apportées soient prises en compte.

Fig 8 : clic sur redémarrer maintenant

 Ouvrez un fichier dans le Bac à sable : ouvrez le menu Démarrer et cliquez sur Toutes les
applications pour afficher la liste des applications installées sur votre PC. Tout en bas de
celle-ci, ouvrez l’application Windows Sandbox.

Fig 9 : Ouverture d’un fichier dans le Bac à sable

P a g e 21 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

Une fenêtre du Bac à sable Windows devrait alors s’ouvrir à l’écran. Comme vous pouvez
le constater, il s’agit en réalité d’une nouvelle session de Windows 11, exécutée dans une
fenêtre indépendante du reste de votre système d’exploitation.

Fig 10: Fenetre Windbox Sandbox

5. Conteneurisation et Virtualisation
La conteneurisation est un processus de déploiement logiciel qui regroupe le code d'une
application avec tous les fichiers et bibliothèques dont elle a besoin pour s'exécuter sur
n'importe quelle infrastructure. Traditionnellement, pour exécuter n'importe quelle application
sur votre ordinateur, vous deviez installer la version correspondant au système d'exploitation
de votre machine. Par exemple, vous deviez installer la version Windows d'un progiciel sur un
ordinateur Windows. Toutefois, avec la conteneurisation, vous pouvez créer un progiciel
unique, ou conteneur, qui s'exécute sur tous les types d'appareils et de systèmes d'exploitation.
Avantages :
 Portabilité: Les développeurs de logiciels utilisent la conteneurisation pour déployer des
applications dans plusieurs environnements sans réécrire le code du programme. Ils créent
une application une seule fois et la déploient sur plusieurs systèmes d'exploitation. Par
exemple, ils exécutent les mêmes conteneurs sur les systèmes d'exploitation Linux et
Windows. Les développeurs mettent également à niveau le code des applications héritées
vers des versions modernes à l'aide de conteneurs pour le déploiement.

P a g e 22 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Capacité de mise à l’échelle :Les conteneurs sont des composants logiciels légers qui
s'exécutent efficacement. Par exemple, une machine virtuelle peut lancer une application
conteneurisée plus rapidement, car elle n'a pas besoin de démarrer un système
d'exploitation. Par conséquent, les développeurs de logiciels peuvent facilement ajouter
plusieurs conteneurs pour différentes applications sur une seule machine. Le cluster de
conteneurs utilise des ressources informatiques provenant du même système d'exploitation
partagé, mais un conteneur n'interfère pas avec le fonctionnement des autres conteneurs.
 Tolérance aux pannes: Les équipes de développement logiciel utilisent des conteneurs
pour créer des applications tolérantes aux pannes. Ils utilisent plusieurs conteneurs pour
exécuter des microservices sur le cloud. Comme les microservices conteneurisés
fonctionnent dans des espaces utilisateur isolés, un seul conteneur défectueux n'affecte pas
les autres conteneurs. Cela augmente la résilience et la disponibilité de l'application.
 Agilité : Les applications conteneurisées s'exécutent dans des environnements de calcul
isolés. Les développeurs de logiciels peuvent résoudre les problèmes et modifier le code
de l'application sans interférer avec le système d'exploitation, le matériel ou d'autres
services applicatifs. Ils peuvent raccourcir les cycles de publication des logiciels et
travailler rapidement sur les mises à jour avecLa virtualisation des systèmes
d’exploitation, utilisée parfois à l’échelle domestique, permet d’exécuter sur une seule et
même machine plusieurs OS différents, n’interférant pas les uns avec les autres.
La Virtualisation est une technologie permettant de créer et de gérer plusieurs ordinateurs
virtuels en utilisant une seule machine physique. Ces ordinateurs virtuels vous permettent
d’accéder à vos ressources habituelles, qu’il s’agisse de logiciels, d’outils, de données
stockées sur votre réseau, ou encore de périphériques spécifiques, Vous pouvez ainsi
utiliser un ou plusieurs systèmes d’exploitation sur votre ordinateur, grâce à des
ressources allouées par la machine physique se trouvant en haut de la chaîne. La
virtualisation n’est toutefois pas le cloud, même s’il s’agit bien aujourd’hui d’une
technologie complémentaire
Avantages :
 .Flexibilité :Il s’agit du principal atout de celles-ci, la création d’une machine virtuelle est
nettement plus rapide et plus facile que l’installation d’un système d’exploitation sur un
serveur physique. Il est possible de cloner une machine virtuelle avec le système
d’exploitation déjà installé. Les développeurs et les testeurs de logiciels peuvent créer de
nouveaux environnements à la demande pour traiter les tâches selon les besoins.

P a g e 23 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Meilleure utilisation des ressources et optimisation du retour sur investissement: Comme

la plupart des machines virtuelles fonctionnent sur un seul ordinateur physique, il n’est
pas nécessaire d’acheter un nouveau serveur pour faire fonctionner un autre système
d’exploitation. Vous pouvez tirer un meilleur parti du matériel que vous possédez déjà.
 Évolutivité: Grâce au cloud computing, il est devenu plus facile d’introduire plusieurs
copies d’une même machine virtuelle pour mieux gérer des charges de travail accrues.
 Sécurité : les machines virtuelles offrent une meilleure sécurité. En effet, c’est un fichier
qui peut être utilisé pour détecter un logiciel malveillant provenant d’un programme
externe. Si elle est compromise, il suffit de la supprimer et la recréer rapidement, ce qui
accélère la récupération des fichiers infectés par des logiciels malveillants.
VII. GESTION DES CORRECTIFS ET MISES A JOUR
1. Importance des patchs de sécurité
Le patch management consiste avant tout à apporter des correctifs à des applications ou des
systèmes d’exploitation qui pourraient présenter des vulnérabilités qui seraient utilisées par
des hackeurs pour s’introduire dans le système d’information des entreprises et créer de
nombreux désagréments : fuite de données, Eviter les intrusions dans le système, empêcher le
vol de donnees, Assurer un chiffrement des donnees, Protection contre les menaces et
cyberattaques (virus, ransomwares, cheval de troie …….) rupture d’exploitation, perte de
réputation de l’entreprise, etc. Le patching est donc un élément clé pour s’appuyer sur des
applications et OS toujours à jour et sécurisés. Il est d’autant plus important qu’avec
l’évolution des usages et le développement de nouvelles formes de travail, le digital
workplace est désormais complexe (devices multiples, télétravail, Byod, etc.).
2. I
Les machines Linux sont analysées à l'aide d'agents et reçoivent des correctifs. Le processus
est le suivant :
[Link] vos machines Linux :
 Si vous connaissez l'identité ou la localisation de vos machines Linux, vous pouvez créer
un groupe de machines Linux.
 Si vous ne connaissez pas l'identité et l'emplacement de toutes vos machines Linux,
exécutez une analyse d'état de l'alimentation sur le groupe Mon domaine ou Réseau entier.
L'analyse identifie le type d'OS de chaque machine du groupe et vos machines Linux sont
affichées dans l'onglet Correctif Linux de la vue Machine.

P a g e 24 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

 Créer un ou plusieurs groupes de correctifs Linux et configurations :

 Créer un groupe de correctifs Linux: L'opération est facultative mais elle est généralement
conseillée. La création d'un groupe de correctifs vous donne un meilleur contrôle de vos
analyses et déploiements. Avec un groupe de correctifs, vous pouvez lancer une analyse
qui recherche un ensemble de correctifs particulier et déployer ce dernier.
 Créez une configuration d'analyse des correctifs Linux: Vous utilisez cette configuration
pour spécifier précisément la façon dont vos machines Linux doivent être analysées.
 Créez une configuration de déploiement de correctifs Linux: Vous utilisez cette
configuration pour spécifier précisément la façon dont les correctifs doivent être déployés
vers vos machines Linux.
 Créez une ou plusieurs stratégies d'agent : Une stratégie d'agent définit exactement ce
qu'un agent peut ou ne peut pas faire. Vous créez une ou plusieurs tâches de correctif
Linux dans la stratégie d'agent. Dans chaque tâche, vous spécifiez le moment où la tâche
doit être exécutée sur une machine d'agent et les configurations à utiliser pendant les
processus d'analyse et de déploiement.
 Installez la stratégie d'agent: Chaque machine cible Linux doit être correctement
configurée pour que vous puissiez effectuer l'installation en mode Push d'un agent.
L'une des options consiste à exécuter une « Installation en mode Push » de l'agent depuis
la console Security Controls. Vous disposez pour cela de plusieurs méthodes :
 Dans votre groupe de machines Linux, sélectionnez dans le volet inférieur les machines
voulues, puis cliquez sur Installer/Réinstaller l'agent.
 Dans la vue Machine, cliquez avec le bouton droit sur les machines Linux et installez la
stratégie d'agent voulue.
Si vous avez réalisé une analyse d'état de l'alimentation sur vos machines Linux, vous
pouvez également réaliser cette étape depuis la liste Résultats du volet de navigation.
Utilisez l'agent.
 L'agent exécute automatiquement ses tâches et signale les résultats à la console. Vous
pouvez utiliser la vue Machine ou la vue d'analyse pour gérer les machines qui exécutent
une stratégie d'agent. Pour contrôler manuellement l'agent, vous employez un utilitaire de
ligne de commande
3. Outils de gestion des correctifs et mises à jour
il existe plusieurs outils qui aident le personnel informatique à gérer les correctifs. Ces outils
sont généralement destinés aux entreprises, les particuliers pouvant télécharger les mises à

P a g e 25 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

jour manuellement chez eux. Plusieurs développeurs de logiciels proposent des outils
fonctionnant sur les machines des particuliers qui interrogent un serveur central et
téléchargent les mises à jour automatiquement. Le système d'exploitation Windows 10 est un
exemple de logiciel qui télécharge et met à jour automatiquement sans interaction avec
l'utilisateur.

Fig 11 : SolarWinds Patch Manager

Fig 12: ManageEngine Patch Manager

P a g e 26 | 31
GESTION DES VULNERABILITES ET SECURISATION DES OS

Fig 13 : Ivanti Shavlik

P a g e 27 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

CONCLUSION
Parvenu au terme de notre etude ; qui potait sur ;'"« TALEND ETL » ; ou il était question de
presenter tout d´abord l´integration es

P a g e 28 | 31
 GESTION DES VULNERABILITES ET SECURISATION DES OS

BIBLIOGRAPHIE
• [Link]
• [Link]
andlogging-via-cloud
• [Link]
integrationwindows/disabling-internet-access-for-studio
• [Link]
• [Link]
• [Link]
• [Link]
generationdans-un-fichier/
• [Link]
• [Link]
OUVRAGES
MTI820-Acetates-ETL_1pp%20(1).pdf

P a g e 29 | 31
GESTION DES VULNERABILITES ET SECURISATION DES OS

P a g e 30 | 31