Sécurité de l’information

[email protected]
Institut Supérieur de Documentation

1
 PLAN
• Propriétés de sécurité de l'information
• Sécurité des systèmes informatiques
• Terminologie et revue des risques
• Techniques de sécurisation
• Sécurité physique
• Préservation de l'intégrité
• Préservation de la confidentialité
• Chiffrement
• Applications documentaires du chiffrement
• Coffre fort numérique
• Workflow et sécurité de l’information
• Liste des projets
2
2022/2023
 Bibliographie
Anas Abou El Kalam : Sécurité des systèmes
d’information et des réseaux, cours, Enseeiht
Support de formation Microsoft Imagine Academy
Gilles Dubertret: Initiation à la cryptographie,
parution le 04/09/2018

3
2022/2023
 Quelle information ?
Information numérique
Tout est numérique ou numérisé
Avantages du numérique
L’information est le capital de
l’entreprise, de la production
intellectuelle, ….il faut la protéger!
Risque ?

4
2022/2023
 Quels risques ?
Perte de l’information, totalement, partiellement
Modification non voulue de l’information
Perte de la confiance dans l’information
Violation du caractère privé de l’information
Perte de l’accès à l’information
De façon frauduleuse ou non!

5
2022/2023
 Propriétés à préserver

6
2022/2023
 Confidentialité
Propriété d’une info de ne pas être
révélée à des utilisateurs non autorisés
Empêcher les Utilisateurs de lire une
information confidentielle, et , plus
difficile, empêcher les utilisateurs
autorisés de lire une information et la
divulguer à d’autres utilisateurs
Attaques : Écoutes passives, canaux
cachés, usurpation d’identité, …
7
2022/2023
 Integrité de l’information
Propriété d’une information de ne pas être
altérée : empêcher une modification de
l’information par un utilisateur non autorisé ou
même une modification non voulue par des
utilisateurs autorisés
Avoir l’assurance que l’information n’a pas été
modifiée, pouvoir le vérifier, le prouver.
Outils : Fcts de hachage, contrôle d’intégrité
Attaques : Usurpation d'identité, éléments
naturels
8
2022/2023
 Disponibilité
Propriété d’une info d’être accessible lorsqu’un
utilisateur autorisé en a besoin.
Faire en sorte qu’aucun élément externe ou
utilisateur ne puisse empêcher les autres
d’accéder à l’info
 Accessibilité immédiate : accès en respectant les
délais
 Pérennité : dispo de données persistantes (durée de
validité)
Attaques : DoS, DDoS, …
Moyens : Sauvegardes,accès contrôlés,firewalls
9
2022/2023
 Systèmes informatiques SI
L'information est gérée par des SI
Ensemble d'éléments matériels (Ordinateurs,
serveurs, réseaux, terminaux) et logiciels
(bases de données, applications, plateformes)
fonctionnant ensemble pour un service donné
La sécurité de l'information dépend de la
sécurité des SI
Propriétés de sécurité des SI ?

10
2022/2023
 Traçabilité
Aptitude du système à garder une trace
des opérations subies et de leurs
instigateurs
Journalisation, Historique
Dissuasion, remonter les faits en cas de
problème

11
2022/2023
 Authentification
Valider l’identité d’un acteur du système
Différentes techniques
Valider l’authenticité d’un message ou
d'une action
Point critique : usurpation d'identité,
Man in the middle

12
2022/2023
 Non Répudiation
« Qualité d’un système qui permet d'imputer
de façon certaine une opération à un
utilisateur à un moment donné »
Impossibilité pour un correspondant de nier
avoir reçu ou émis un message : signature
électronique
Basé sur le cryptographie asymétrique

13
2022/2023
 Terminologie de la sécurité
Vulnérabilité : faiblesse / faille : faute accidentelle ou
intentionnelle dans la conception ou configuration du
système
Attaque : action malveillante qui tente d’exploiter une
faiblesse dans le système et de violer une ou
plusieurs propriétés de sécurité
Intrusion : faute opérationnelle, externe,
intentionnellement nuisible, résultant de l’exploitation
d’une vulnérabilité dans le système permettant
l'accès au système

14
2022/2023
 Terminologie de la sécurité (2)
Menace : Violation potentielle d’une propriété
de sécurité
Risque : Couple (menace, vulnérabilité)
Spamming : l'usage abusif d'un système de
messagerie destiné à exposer délibérément
(et de manière répétée) les utilisateurs à des
contenus non pertinents et non sollicités

15
2022/2023
 Terminologie de la sécurité (4)
Virus, Ver : Programme ou segment de
programme qui, lorsqu’il s’exécute, se
reproduit en effectuant des actions non
autorisées. Propriétés : infection,
multiplication, fct nocive.
Peut venir en pièce joint à un mail, un
document avec un script, avec un logiciel
téléchargé, sur un support de stockage
(exécution automatique), etc.

16
2022/2023
 Terminologie de la sécurité (5)
Bombe logique : programme qui reste inactif
dans le système hôte jusqu’à ce que certaines
conditions soient réunies, pour déclencher des
effets dévastateurs en son sein.
Cheval de Troie : programme effectuant une
fonction illicite tout en donnant l’apparence
d’effectuer une fonction légitime. La fonction
illicite peut être de divulguer ou d’altérer des
informations, ou une bombe logique, ou
installer un backdoor
17
2022/2023
 Terminologie de la sécurité (7)
Backdoor (porte dérobée) : moyen de contourner les
mécanismes de sécurité. Faille du système de
sécurité due à une faute de conception accidentelle
ou intentionnelle (cheval de Troie en particulier). Ces
passages secrets sont ménagés par les concepteurs
de logiciels pour fournir des accès privilégiés pour les
tests ou la maintenance. Mais les pirates qui les
découvrent peuvent déjouer tous les mécanismes de
sécurité et rentrer dans le système.

18
2022/2023
 Terminologie de la sécurité (8)
Spyware : (spy – software) : logiciel espion
qui collecte des données personnelles avant
de les envoyer à un tiers,
Exemple :
Keylogger : transmettre les données saisies
au clavier. Peut être autorisé par l'utilisateurs
(!) dans un objectif de marketing: les
traqueurs

19
2022/2023
 Terminologie de la sécurité (9)
Sniffing (écoute passive) : accéder aux
données transmises sur le canal de
communication (e.g. câble de réseau) stockée
sur un support vulnérable (e.g. disques
externes). Permet l’accès à des informations
sensibles, e.g. mot de passe d’un utilisateur
tapé sur un ordinateur du réseau, et qui
transite en clair sur le réseau (HTTP), gmail

20
2022/2023
 Terminologie de la sécurité (3)
DoS : déni de service (Distributed DDoS) attaque
d'un serveur destinée à l'empêcher de remplir sa
fonction.
Méthode classique : faire crouler le serveur sous une
masse de requêtes généralement mal formées à
dessein pour entraîner une réponse anormale et
paralysante. L'attaque utilise très souvent une multitude
de PC zombies travaillant de concert, infectés par des
backdoors/chevaux de Troie et mobilisables à distance
par un pirate. Il est aussi possible de bloquer à distance
des routeurs en tirant parti de failles de leur software.

21
2022/2023
 Terminologie de la sécurité (10)
Spoofing - Usurpation d’identité : se faire
passer pour quelqu'un d'autre afin de faire
une action malveillante (e.g., envoi virus,
spam, …) Exemple : IP spoofing = utiliser
l'adresse IP d'une machine, ou d'un
équipement, afin d'en usurper l'identité.
Fishing : site miroir "contrefait" semblable à
des portails de renom pour attirer un
internaute réellement client du site plagié.

22
2022/2023
 Les failles
Les failles peuvent être à tous les niveaux : du plus
élevé (humain) au plus bas (matériel)
Failles à différents niveaux:
 Mise en œuvre (environnement de sécurité déficient)
 Authentification de l'utilisateur (contournement ou
connexion forcée, social engineering)
 Logiciel (erreurs, failles programmes, virus, chevaux de
Troie)
 Réseau (écoute, attaques de routeurs)
 Matériel (failles ou défaillance des matériel)

23
2022/2023
 Les menaces
Humaines : Vol, intrusion, sabotage,
vandalisme, erreur humaine, extorsion
d’information, erreurs logicielles, virus,
ver, spyware, spam, DoS, etc
Naturelles : inondations, surtension,
tremblement de terre, chaleur/froid
extrêmes, poussière

24
2022/2023
 Les attaques passives
Ecouter, sniffer sur
les installations
publiques
Accéder aux
installation privées
à distance

25
2022/2023
 Les attaques actives
Intrusion,
Prise de contrôle,
Modification
Brute force

26
2022/2023
 Le social engineering
Les attaquants exploitent la naïveté, les bonnes
intentions, la crédulité, la distraction, la cupidité, les
bonnes et les mauvaises manières, le zèle, etc pour
« spoofer » des droits d’accès ou faire passer un
programme malveillant (back door, virus, etc) dans
un système. En général les personnes ont honte de
déclarer qu’ils ont été dupé!
Tous les utilisateurs ayant accès à un système
peuvent subir des attaques de ce genre (par mail,
par téléphone…) : La gestion des privilèges et la
journalisation sont importantes

27
2022/2023
 Les approches de sécurité utilisées

Identification, authentification, droits d’accès et

privilèges, privilèges minimaux.
Contrôles d’accès logiques et physiques.
Contrôle d’intégrité
Chiffrement
Évaluation, certification, accréditation, agrément, …
Journalisation des événements liés à la sécurité
Etablir une politique de sécurité
Plan de continuité des activités

28
2022/2023
 Authentification utilisateurs
Comment s’assurer que l’utilisateur est bien celui qu’il
prétend être :
3 moyens :
 ce qu’il connait : Mot de passe
 Ce qu’il possède : carte d’identité,
 Ce qu’il est : Biométrie ( face, iris, empreinte, ECG, voix, …)
Authentification à 2 facteurs : impose deux formes
d’identification
Serveur d’authentification LDAP, KERBEROS,
Single Sign-ON : Authentification unique

29
2022/2023
 Principe du privilège minimum
 Travailler tout le temps avec le privilège
administrateur n’est pas une bonne idée
 Le risque : un virus hérite de ce privilège
 Si tous les utilisateurs/processus tournent
avec le minimum de privilèges nécessaires il
sera plus difficile aux virus et logiciels
malicieux d’infecter les machines
 Réfléchissez 2 fois avant d’utiliser le compte
administrateur

30
2022/2023
 La sécurité physique
Est-ce important? Si on peut accéder
physiquement à la machine, on peut faire
beaucoup de dégâts
Les keyloggers : enregistrer toutes frappes
sur le clavier, copies d’écran, impressions,
accès disk, traffic réseaux, etc. Peut les
envoyer par mail, par un backdoor, les
enregistrer, etc
Démo keylogger

31
2022/2023
 La sécurité physique (2)
Contrôler l’accès :
 Protection externe : Guardes, barrières, Video
surveillance, Alarmes, détecteurs d’intrusion,
incendie
 Protection interne : Onduleurs, Cadenas pour les
machines et les câbles, cartes d’accès, Biométrie
Assurer l’adhésion de tout le personnel pour
avoir une rigueur absolue dans l’application
des consignes de sécurité, la moindre faille
est fatale.
32
2022/2023
 La sécurité physique (3)
Bien configurer les accès mobiles : les
téléphones portables, tablettes, en cas de
vols peuvent devenir des points d’accès aux
applications installées – mot de passe,
données cryptées
Les mémoires amovibles : flash usb, cartes,
CD, DVD, disques externes peuvent être
perdus, volés, copiés, corrompus, …

33
2022/2023
 La sécurité physique (4)
Si un poste est destiné au public :
 Prévoir un compte « Guest » avec le strict minimum
de privilèges.
 Pas d’accès aux support de stockage,
 Inhiber les ports USB,
 Pas de possibilité d’installation, de configuration.
 Application avec accès limité à une adresse
(IP)/domaine précis (e.g. tn)

34
2022/2023
 Accès internet
Sites sécurisés, certifiés, audités
Internet Zones
Protocoles sécurisés SSH, HTTPS, SSL
Les VPN (Virtual Private Network)
Sécurité des e-mails
Cookies, traqueurs
Les comptes gmail et facebook ouverts
en permanence
35
2022/2023
 Contrôle d’intégrité
Rappel sur l'ISBN
Utilité du checkdigit?
Comment le calculer ?

https://www.apprendre-en-ligne.net/crypto/passecret/isbn.html
36
2022/2023
 Télécharger un fichier

37
2022/2023
 Contrôle d’intégrité (2)
Bit de parité, RIB, Id unique citoyen
Cyclic redanduncy Code
Checksum
Empreinte, hashcode, code de hachage,
condensat
Fonction de hachage : algorithme de calcul
qui fournit un code de longueur fixe et qui
caractérise le document traité. Ex : Md5, CRC,
SHA1, SHA256, SHA512, bcrypt, …

38
2022/2023
 Utilisation du hachage
Contrôle d’intégrité des documents, des backups, des
fichiers sauvegardés.
 Tout changement du fichier se traduit par un changement
du code
 Le code ne permet pas de retrouver le fichier ou d'en révéler
des informations
 Mettre en place une politique de vérification
Stockage des mots de passes : l’administrateur
système peut-il voir les mots de passe?

39
2022/2023
 TD
HashTab
QuickHash
Cryptool
AxCrypt

40
2022/2023
 La cryptographie
La cryptographie est une science permettant de
convertir des données "en clair" en données codées, non
compréhensibles, puis, à partir de ces données codées, de
restituer les données originales.
Utilise les mathématiques pour crypter et décrypter les
données
Garantir le secret de l’inf. transmise ou archivée: Schéma
Bob et Alice

41
2022/2023
 La cryptographie : Terminologie
La cryptographie : une science permettant de convertir
des données "en clair" en données codées, non
compréhensibles, puis, à partir de ces données codées, de
restituer les données originales.
Utilise les mathématiques pour crypter et décrypter les
données.
La cryptanalyse : une technique qui vise à étudier les
messages chiffrés en vue de les rendre lisibles dont on
n’est pas destinataire.
La cryptologie : une science qui comporte deux
branches: la cryptologie et la cryptanalyse.

42
2022/2023
 La cryptographie : Terminologie
Un cryptogramme : un message chiffré ou codé
Un clef : une variable (mot, phrase, etc) en
cryptographie qui est utilisée avec un algorithme pour
chiffrer et déchiffrer le code.

Texte Chiffrement Texte

En clair Chiffré
(cryptogramme)
Déchiffrement

Décryptage (attaquant)

43
2022/2023
 La cryptographie : Terminologie
Le chiffrement (codage ou cryptage) : consiste à
transformer une donnée lisible (clair) en une donnée
illisible (incompréhensible par un humain, logiciel) sans
posséder la clé de déchiffrement.
Le déchiffrement est l’opération inverse du
chiffrement.
Il y a deux types de chiffrement (cryptographie):
 Symétrique : l’algorithme de chiffrement est le même que celui
de déchiffrement
 Asymétrique : l’algorithme de chiffrement n’est pas le même
que celui de déchiffrement

44
2022/2023
 La cryptographie : Terminologie

45
2022/2023
 Domaines d’utilisation
Domaine militaire : transmission de documents “secret
défense”
Domaine médical : confidentialité des dossiers de
patients
Domaine commercial : e-commerce transmission
sécurisée du numéro de carte bancaire
Domaine industriel : transmission d’informations
internes a l’entreprise a l’abris du regard des
concurrents !

46
2022/2023
 Substitution et Transposition
Ce sont les 2 techniques de base
Substitution : chaque lettre est substituée
par une autre
Transposition : les lettres obéissent à des
permutations. Elles sont réarrangées de sorte
à ce que le message soit incompréhensible

47
2022/2023
 Chiffrement symétrique
Connu par cryptographie à clé secrète
C’est la plus ancienne forme de chiffrement.
Elle permet à la fois de chiffrer et de déchiffrer des
messages à l'aide d'une même clé.
Exemple : César , DES (Data Encryption Standard ), etc

48
2022/2023
 Chiffre de césar
C’est une méthode de chiffrement simple symétrique, Connu par
le chiffrement par décalage, utilisée par Jules César dans ses
correspondances secrètes.
Le texte chiffré s'obtient en substituant chaque lettre du texte clair
original par une lettre à distance fixe, toujours du même côté, dans
l'ordre de l'alphabet. Pour les dernières lettres (dans le cas d'un
décalage à droite), on reprend au début.
Exemple : Pour un décalage de 3, A est remplacé par D et B par E

49
2022/2023
 Chiffre de césar
Le chiffre de César peut être cassé très facilement
On peut distinguer deux cas :
le cryptanalyste a connaissance du fait qu'un simple
chiffrement par substitution a été employé, mais ignore
qu'il s'agit du chiffre de César en particulier ;
 Recherche de la méthode de chiffrement

le cryptanalyste sait que le chiffre de César a été utilisé,

mais ignore la valeur du décalage.
 Recherche de la valeur du décalage

50
2022/2023
 Chiffre de césar
Recherche de la méthode de chiffrement
il est possible de casser le chiffre de César à l'aide de
l'analyse fréquentielle. Lors de la résolution, le cryptanalyste
remarquera une certaine régularité dans les décalages, et en
déduira que l'algorithme employé est le chiffre de César.

Recherche de la valeur du décalage

Comme il n'y a qu'un nombre limité de décalages, il suffit de
tester tous les chiffrements possibles jusqu'à trouver le bon:
Technique de test de toutes les combinaisons possibles

 Amélioration du chiffre de césar : Le chiffre de

Vigenère, chiffre de Vernam
51
2022/2023
 Data Encryption Sandard: DES
Data Encryption Standard : par IBM sous le nom de Lucifer (1976)
Adoptée comme standard de chiffrement aux USA en 1977
Blocs de 64 bits, clés de 56 bits (+8 bits de parité)
Grand succès
Algorithme assez simple
Ne combine que des permutations et des substitutions
Algorithme à clé secrète
La clef sert à la fois à chiffrer et à déchiffrer le message
Fractionnement du texte en blocs
de 64 bits (8 octets)
Permutation initiale des blocs, Découpage des blocs en deux
parties: G et D, Permutations et substitutions répétées 16 fois (rondes),
Recollement des parties gauche et droite, Permutation initiale inverse
Demo sur cryptool
52
2022/2023
 Critique
Le chiffrement symétrique ou à clé
secrète :
Excellents résultats
Reste les problèmes de
 distribution préalable des clés entre
correspondants
 La multiplicité des clés : une clé par couple
de correspondant

53
2022/2023
 Solutions
Échanger des informations qui ne
permettent pas de retrouver la clé :
Diffie-Hellman
Utiliser des clés différentiées telles que
la connaissance de la clé de chiffrement
et le message chiffré ne permet pas de
trouver la clé de déchiffrement :
Chiffrement asymétrique

54
2022/2023
 Echange des clés de Diffie-Hellman
En cryptographie, l'échange
de clés Diffie-Hellman est
une méthode, publiée en 1976,
par laquelle deux agents,
peuvent se mettre d'accord sur
un nombre (qu'ils peuvent
utiliser comme clé pour chiffrer
la conversation) sans qu'un
troisième agent puisse
découvrir le nombre, même en
ayant écouté tous leurs
échange.

55
2022/2023
 Chiffrement Asymétrique
Une clé publique du destinataire pour
chiffrer et une autre privée du
destinataire pour déchiffrer.
si X veut envoyer un message chiffré à Y,
il chiffre le message avec la clé publique
de Y puis envoie à Y le texte chiffré.
Se base sur des fonctions mathématiques
particulières
Exemple : RSA, ELGAMAL
56
2022/2023
 Echange de clés Diffie-Hellman

57
2022/2023
 RSA
Rivest, Shamir et Adleman, 1978
p et q deux nombres premiers distincts (très grands > 100
chiffres)
n=p.q et e choisi premier avec (p-1).(q-1)
 – clé publique : (n,e)
 – clé privée : (n,d)
p, q restent secrets, ils permettent de calculer d tel que e.d mod
(p-1).(q-1) =1
Chiffrement m’ = me mod n
Déchiffrement m’d =med mod n = m (propriété du théorème
d’Euler)
Intérêt de la méthode : actuellement connaissant n et e (très
grands), il est difficile de trouver en un temps raisonnable p et q
58
2022/2023
 RSA en pratique
Dans la pratique chaque entité qui veut établir et recevoir des
communications sécurisées s’inscrit chez une autorité pour avoir
2 clés : une publique et une privée.
Les clés publiques sont publiées dans un répertoire
Si je veux communiquer avec une entité, je chiffre mon
message avec sa clé publique
Elle est la seule à pouvoir le déchiffrer avec sa clé privée.
L’utilisateur ne fait rien, les logiciels font tout à sa place
Les communications HTTPS sont chiffrés à l’aide de RSA (voir le
certificat d’un site sécurisé)
Plusieurs applications pratiques des clés asymétriques
incontournables pour les documents numériques

59
2022/2023
 PKI
Public Key Infrastructure assimilée à une
autorité de certification : tiers de confiance
pour assurer la publication des clés publiques
et les lier de façon sûre à des identités.
Verisign, ANCE,
https://webgate.ec.europa.eu/tl-browser/#/
(liste des autorités de confiance européens)
La chaîne de confiance : une autorité peut en
certifier une autre

60
2022/2023
 Signature numérique
La signature numérique (parfois appelée
signature électronique) est un mécanisme
permettant de garantir l'intégrité d'un
document électronique et d'en authentifier
l'auteur, par analogie avec la signature
manuscrite d'un document papier.
Il ne s’agit pas des applications qui proposent
de mettre l'image scannée d'une signature
manuelle sur un document

61
2022/2023
 Signature numérique
Un système de signature numérique est défini
par les fonctions suivantes :
 une fonction de création de signature (ms) d'un
message (m) : ms = S(priv, m) ;
 une fonction de vérification de la signature d'un
message : V(pub, m, ms).
Avec :
 m un message ;
 ms la signature du message ;
 priv la clé privée de l'expéditeur ;
 publa clé publique de l'expéditeur.
62
2022/2023
 Signature et vérification

63
2022/2023
 Description
Alice souhaite envoyer à Bob un message dont il puisse vérifier
l'authenticité. Alice prépare le message signé :
 Elle produit un condensat du message par la fonction de hachage choisie ;
 Elle chiffre ce condensat grâce à la fonction de chiffrement en utilisant sa clé privée.
Le résultat obtenu est la signature du message;
 Elle prépare le message signé en collant le message en clair et la signature.

Alice transmet le message signé, à Bob par un canal non sécurisé. Pour
vérifier l'authenticité du message, Bob :
 Produit un condensat du texte clair en utilisant la fonction de hachage ;
 Déchiffre la signature en utilisant la clé publique d'Alice soit ;
 Compare le condensat qu'il calcule avec le condensat qu'il reçoit.

Dans le cas où la signature est authentique, les 2 condensat sont

égaux : Le message est alors authentifié.

64
2022/2023
 Propriétés
Un mécanisme de signature numérique doit présenter les
propriétés suivantes :
 Il doit permettre au lecteur d'un document d‘authentifier la personne ou
l'organisme qui a apposé sa signature (propriété d‘authentification).
 Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur
l'a signé et le moment où le lecteur le consulte (propriété d'intégrité).
Pour cela, les conditions suivantes doivent être réunies :
 authentique : l'identité du signataire doit pouvoir être retrouvée de manière
certaine ;
 infalsifiable : la signature ne peut pas être falsifiée. Quelqu'un ne peut se
faire passer pour un autre ;
 non réutilisable : la signature n'est pas réutilisable. Elle fait partie du
document signé et ne peut être déplacée sur un autre document ;
 inaltérable : un document signé est inaltérable. Une fois qu'il est signé, on
ne peut plus le modifier ;
 irrévocable : la personne qui a signé ne peut le nier (non répudiation).
65
2022/2023
 ‫اﻟﻘواﻧﯾن‬
‫اﻟﻘﺎﻧون ﻋدد ‪ 57‬ﻟﺳﻧﺔ ‪ 2000‬اﻟﻣؤرخ ﻓﻲ ‪ 13‬ﺟوان ‪ 2000‬اﻟﻣﺗﻌﻠق ﺑﺗﻧﻘﯾﺢ وإﺗﻣﺎم‬
‫ﺑﻌض ﻓﺻول ﻣن ﻣﺟﻠﺔ اﻻﻟﺗزاﻣﺎت واﻟﻌﻘود وﺧﺎﺻﺔ اﻟﻔﺻل ‪ 453‬ﻣﻛرر ﻣﻧﮭﺎ ‪:‬‬
‫إدراج ﻣﺑدأ اﻻﻣﺿﺎء اﻻﻟﻛﺗروﻧﻲ‬
‫اﻟﻘﺎﻧون ﻋدد ‪ 83‬ﻟﺳﻧﺔ ‪ 2000‬اﻟﻣؤرخ ﻓﻲ ‪ 9‬أوت ‪ 2000‬اﻟﻣﺗﻌﻠق ﺑﺎﻟﻣﺑﺎدﻻت‬
‫واﻟﺗﺟﺎرة اﻹﻟﻛﺗروﻧﯾﺔ ‪ :‬ﺗﻧظﯾم ﻋﻣﻠﯾﺔ اﻻﻣﺿﺎء اﻻﻟﻛﺗروﻧﻲ و ﺑﻌث اﻟوﻛﺎﻟﺔ اﻟوطﻧﯾﺔ‬
‫ﻟﻠﻣﺻﺎدﻗﺔ اﻹﻟﻛﺗروﻧﯾﺔ‬
‫ﻣرﺳوم رﺋﯾس اﻟﺣﻛوﻣﺔ ﻋدد ‪ 31‬ﻟﺳﻧﺔ ‪ 2020‬اﻟﻣؤرخ ﻓﻲ ‪ 10‬ﺟوان ‪2020‬‬
‫اﻟﻣﺗﻌﻠق ﺑﺎﻟﺗﺑﺎدل اﻹﻟﻛﺗروﻧﻲ ﻟﻠﻣﻌطﯾﺎت ﺑﯾن اﻟﮭﯾﺎﻛل واﻟﻣﺗﻌﺎﻣﻠﯾن ﻣﻌﮭﺎ وﻓﯾﻣﺎ ﺑﯾن‬
‫اﻟﮭﯾﺎﻛل‬
‫أﻣر ﺣﻛوﻣﻲ ﻋدد ‪ 777‬ﻟﺳﻧﺔ ‪ 2020‬ﻣؤرخ ﻓﻲ ‪ 5‬أﻛﺗوﺑر ‪ 2020‬ﯾﺗﻌﻠق ﺑﺿﺑط‬
‫ﺷروط وﺻﯾﻎ وإﺟراءات ﺗطﺑﯾق أﺣﻛﺎم ﻣرﺳوم رﺋﯾس اﻟﺣﻛوﻣﺔ ﻋدد ‪ 31‬ﻟﺳﻧﺔ‬
‫‪ 2020‬اﻟﻣؤرخ ﻓﻲ ‪ 10‬ﺟوان ‪ 2020‬اﻟﻣﺗﻌﻠق ﺑﺎﻟﺗﺑﺎدل اﻹﻟﻛﺗروﻧﻲ ﻟﻠﻣﻌطﯾﺎت ﺑﯾن‬
‫اﻟﮭﯾﺎﻛل واﻟﻣﺗﻌﺎﻣﻠﯾن ﻣﻌﮭﺎ وﻓﯾﻣﺎ ﺑﯾن اﻟﮭﯾﺎﻛل‬

‫‪66‬‬
‫‪2022/2023‬‬
 Textes de loi
Décret 2001-1667 du 17/07/2001
portant approbation du cahier des
charges relatif à l'exercice de l'activité
de fournisseur de services de
certification électronique
Arrêté du 19/07/2001: fixant les
caractéristiques techniques du dispositif
de création de la signature électronique
67
2022/2023
 Démo
www.universign.eu/fr/: 5 signatures de
documents gratuites + 5 horodatages
gratuits
GPG : autorité simulée (Kleopatra)
https://helpx.adobe.com/acrobat/kb/ap
proved-trust-list1.html

68
2022/2023
 Cachet électronique
Même principe que la signature électronique
Copie conforme d’un diplôme, par exemple
Les données clés contenues dans un document sont signées
avec une signature électronique rendue visible à travers un QR
Code:
 un condensat des données clés est calculé puis signé par la clé
privée de l'entité émettrice.
 Les données clés et le condensat signé sont incorporés dans le QR
Code apposé au document en guise de Cachet Electronique Visible
pour garantir l’intégrité et l’authenticité du document.
Exemple : solution QR-Sign/QR-Check offertes par l’ANCE -
http://www.ance.tn/fr/solutions/qrsign

69
2022/2023
 Horodatage
Preuve de l'existence d'un document et son contenu à une date donnée
Non modifiable même par son auteur
Exemple : bureau d’ordre, dépôt d’un brevet, etc
nécessite de faire appel à une autorité de certification des temps TSA
(en général une CA)
L’application client crée un condensat du document à horodater et
l’envoie à la TSA.
La TSA combine le hash (condensat) avec d’autres informations, dont
l’heure de référence. Le résultat est signé numériquement à l’aide de la
clé privée de la TSA. On obtient alors un certificat d’horodatage qui
contient les informations qui permettront ultérieurement à l’application
cliente de vérifier l’horodatage.
Ce certificat est enregistré dans la signature du document

70
2022/2023
 Horodatage (2)
Plus tard, l'application cliente utilise la clé publique de
l’autorité d’horodatage la TSA pour l’authentifier et
valider que l’horodatage provient bien d’une AH de
confiance
Elle recalcule un hash des données d'origine. Ce
nouveau hash est comparé avec l’original (voir étape
1 plus haut). Si des données ont été modifiées après
l’horodatage du fichier, la vérification du hash échoue
et génère des messages d’alerte.

71
2022/2023
 TLS et Certificats SSL
Secure Sockets Layer : protocoles de sécurisation des
échanges sur Internet :
• l'authentification du serveur ;
• la confidentialité des données échangées (ou session
chiffrée) ;
• l'intégrité des données échangées ;
La plupart des navigateurs supporte le TLS/SSL
Vérifier le certificat :
https://www.sslshopper.com/

72
2022/2023
 Fonctionnement
un utilisateur se connecte à un site web sécurisé :
le navigateur envoie au serveur une demande de connexion
sécurisée.
Le serveur envoie au client son certificat (sa clé publique, ses
informations (nom de la société, adresse postale, pays, e-mail
de contact...) ainsi qu'une signature numérique sous forme de
texte chiffré.
Le navigateur du client tente de déchiffrer la signature
numérique du certificat du serveur en utilisant les clés publiques
contenues dans les certificats des autorités de certifications (AC)
intégrés par défaut dans le navigateur (sur chrome :
options/avancé/certificats/autorités).

73
2022/2023
 Fonctionnement (2)
Si l'une d'entre elles fonctionne, le navigateur web en déduit le
nom de l'autorité de certification qui a signé le certificat envoyé
par le serveur. Il vérifie que celui-ci n'est pas expiré puis envoie
une demande à cette autorité pour vérifier que le certificat du
serveur n'a pas été révoqué.
Si aucune d'entre elles ne fonctionne, le navigateur web tente
de déchiffrer la signature numérique du certificat du serveur à
l'aide de la clé publique contenue dans celui-ci.
 En cas de réussite, cela signifie que le serveur web a lui-même
signé son certificat. Un message d'avertissement s'affiche alors sur
le navigateur web, prévenant l'utilisateur que l'identité du serveur
n'a pas été vérifiée par une autorité de certification et qu'il peut
donc s'agir potentiellement d'un site frauduleux.
 En cas d'échec, le certificat est invalide, la connexion ne peut pas
aboutir.
74
2022/2023
 Fonctionnement (3)
Le navigateur du client génère une clé de chiffrement symétrique (à la
différence des clés privés et publiques utilisés par les certificats qui
sont asymétriques), appelée clé de session, qu'il chiffre à l'aide de la
clé publique contenue dans le certificat du serveur puis transmet cette
clé de session au serveur.
Le serveur déchiffre la clé de session envoyée par le client grâce à sa
clé privée.
Le client et le serveur commencent à s'échanger des données en
chiffrant celles-ci avec la clé de session qu'ils ont en commun. On
considère à partir de ce moment que la connexion TLS est alors établie
entre le client et le serveur.
Une fois la connexion terminée (déconnexion volontaire de l'utilisateur
ou si durée d’inactivité trop élevée), le serveur révoque la clé de
session.

75
2022/2023
 ISO 27000
Normes internationales sur les systèmes de
management pour la sécurité de l'information (SMSI)
Elaborer et mettre en œuvre un cadre de référence
pour gérer la sécurité des actifs informationnels, y
compris les informations financières, la propriété
intellectuelle, les informations sur les employés, ou
les informations qui leur sont confiées par des clients
ou des tiers.
Peuvent également être utilisées pour se préparer à
une évaluation indépendante d’un SMSI en matière
de protection de l'information.
76
2022/2023
 ISO 27000 (2)
ISO/IEC 27001, Technologies de l’information — Techniques de sécurité — Systèmes de management de
la sécurité de l’information — Exigences
ISO/IEC 27002, Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l’information
ISO/IEC 27003, Technologies de l’information — Techniques de sécurité — Management de la sécurité de
l’information — Lignes directrices
ISO/IEC 27004, Technologies de l’information — Techniques de sécurité — Management de la sécurité de
l’information — Surveillance, mesurage, analyse et évaluation
ISO/IEC 27005, Technologies de l’information — Techniques de sécurité — Gestion des risques liés à la
sécurité de l’information
ISO/IEC 27006, Technologies de l’information — Techniques de sécurité — Exigences pour les organismes
procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information
ISO/IEC 27007, Technologies de l’information — Techniques de sécurité — Lignes directrices pour l’audit
des systèmes de management de la sécurité de l’information
ISO/IEC/TR 27008, Technologies de l’information — Techniques de sécurité — Lignes directrices pour les
auditeurs des contrôles de sécurité de l’information
ISO/IEC 27009, Technologies de l’information — Techniques de sécurité — Application de l’ISO/IEC 27001
à un secteur spécifique — Exigences
ISO/IEC 27010, Technologies de l’information — Techniques de sécurité — Gestion de la sécurité de
l’information des communications intersectorielles et interorganisationnelles

77
2022/2023
 ISO27000(3)
ISO/IEC 27011, Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour
les contrôles de la sécurité de l’information fondés sur l’ISO/IEC 27002 pour les organismes de
télécommunications
ISO/IEC 27013, Technologies de l’information — Techniques de sécurité — Guide sur la mise en œuvre
intégrée d’ISO/IEC 27001 et ISO/IEC 20000-1
ISO/IEC 27014, Technologies de l’information — Techniques de sécurité — Gouvernance de la sécurité de
l’information
ISO/IEC/TR 27016, Technologies de l’information — Techniques de sécurité — Management de la sécurité
de l’information — Économie organisationnelle
ISO/IEC 27017, Technologies de l’information — Techniques de sécurité — Code de bonnes pratiques pour
les contrôles de sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage
ISO/IEC 27018, Technologies de l’information — Techniques de sécurité — Code de bonnes pratiques pour
la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant
comme processeur de PII
ISO/IEC 27019, Technologies de l’information — Techniques de sécurité — Mesures de sécurité de
l’information pour l’industrie des opérateurs de l’énergie
ISO/IEC 27021, Technologies de l’information — Techniques de sécurité — Exigences de compétence pour
les professionnels de la gestion des systèmes de management de la sécurité
ISO 27799, Informatique de santé — Management de la sécurité de l’information relative à la santé en
utilisant l’ISO/IEC 27002

78
2022/2023
 Coffre Fort Numérique : Définition
C’est un espace numérique permettant de conserver
durablement de manière sécurisée et confidentielle les
documents sensibles ou vitaux d’une entreprise
Les documents peuvent être hébergés sur un serveur
local ou distant
Selon AFNOR : norme NF Z42-020 de juillet 2012
C’est un composant d’un système d’information constitué
d’un logiciel ou d’une combinaison de logiciel/matériel qui
permet de préserver l’intégrité d’objet numérique dans le
temps.

79
2022/2023
 Coffre Fort Numérique : Rôle
A quoi peut- il servir un CFN dans une entreprise?
 Mettre en place un archivage à vocation probatoire :

les documents sont conservés durablement au format

électronique et pourront être présentés en cas de
contestation ou de contrôle d’une administration
 Préserver la confidentialité des informations et des
échanges : les documents sont protégés des risques de
consultation et de détournement non autorisés.
 Assurer la sécurisation des données en archivant une
copie numérique fiable des documents papiers pour
éviter les risques de vol, perte et détérioration ( les
archives classiques).
80
2022/2023
 Coffre Fort Numérique : Fonctionnement

Un coffre-fort numérique est une option

de la solution de gestion documentaire
Le processus de conservation se fait en
deux étapes :

Scellement numérique + Archivage

81
2022/2023
 Coffre Fort Numérique : Fonctionnement
Scellement numérique : Procédé permettant
de garantir, l’intégrité d’un document par
l’utilisation conjointe de fonctions de hachage, de
signatures numériques et d’horodatage.
 Signature électronique pour authentifier l’auteur du
dépôt
 Horodatage pour attester la date et l'heure exacte (à la
seconde près) à laquelle le document a été émis ou
signé.
 Hachage calculant une empreinte numérique pour
assurer la non modification du document dans le
temps.
82
2022/2023
 Coffre Fort Numérique : Fonctionnement
Archivage : Tous les documents sont ensuite archivés
numériquement dans le coffre-fort où des procédures
de vérification périodique d’intégrité, de traçabilité et de
gestion des actions et des utilisateurs sont réalisées.

Accès aux données stockées : L’utilisateur doit

s’identifier en se connectant et de saisir son login et
mot de passe personnels, et d’autres informations
confidentielles s’il est souscrit à une option de sécurité
complémentaire (exemple code par SMS, image de
code, etc).

83
2022/2023
 Workflow et sécurité de l’information
Le Workflow se traduit par le « flux de travaux ».

Il s’agit d’un processus qui permet d’automatiser la circulation des

flux d’informations (données non structurées) dans une entreprise et
leur accès par les collaborateurs.

Par exemple :
 Une banque peut utiliser l’outil Workflow pour gérer les demandes de
prêts de ses clients.
 Une assurance peut utiliser l’outil Workflow pour gérer les documents de
traitement de sinistres, ou encore les recouvrements.

Etablir un Workflow revient à modéliser des processus métier en

décomposant les flux de validation en étapes précises et en y
associant des acteurs et des échéances.
84
2022/2023
 Workflow et sécurité de l’information
Mettre en place des workflows peut considérablement impacter les
performances de l’entreprise à plusieurs niveaux :
 Suivi de l’activité : en permettant une meilleure traçabilité de l’activité et un
contrôle de qualité plus précis.

 Automatisation des tâches administratives répétitive : en automatisant les

échanges entre les collaborateurs et les différents services. Ainsi, chacun saura
exactement quand il a besoin d’intervenir dans le processus, et ce qu’il doit faire.

 Gain de temps: tout le temps, précieux, consacré à la collecte des informations

et à leur traitement est rationalisé.

 Diminution du risque d’erreur : avec l’automatisation des processus, le risque

d’erreur humaine (envoi du mauvais document, oubli, demande envoyée à la
mauvaise personne, etc.) est considérablement réduit.
 Centralisation de l’information : avec les workflows, toutes les informations
sont regroupées en un support de stockage. Il en découle une meilleure gestion
des accès au contenu.
85
2022/2023
 Liste des projets
1 - Textes de loi régissant la sécurité informatique en Tunisie
2 - La protection des données privées dans le monde et en Tunisie
3 - ANSI - L’Agence Nationale de la Sécurité Informatique
4 - Les Virus
5 - La norme ISO 27000
6 - La norme ISO 27001
7 - La norme ISO 27002
8 - La norme ISO 27701
9 - LA sécurité de l'information dans la norme d'archivage NF Z 42-013 / ISO 14641
10 - La blokchain est ses application pour les documents électroniques
11 - ANCE - L’Agence Nationale de Certification Electronique
12 - Les élément de sécurisation de l'information et du document dans la législation post-covid
(Décret gouvernemental 2020-777 du 5 octobre 2020,
Décret-loi du Chef du Gouvernement 2020-31 du 10 juin 2020, relatif à l’échange électronique
Décret Gouvernemental 2020-312 du 15 mai 2020, relatif à l'identifiant unique citoyen)

Autre sujet intéressant à proposer ? 86

2022/2023