Sécurité informatique et réseaux

Sécurité informatique et réseaux

L3 LICENCE GTR

Références

- Stephane Natkin, les protocoles de sécurité de l’internet, Dunod 2002.

- Bruce Schneier, cryptographie appliquée, Thomson Publishing press, 1995
- Runo Martin, Codage, cryptologie et applications , Presses Polytechniques et
universitaires romandes, 2004
- Stallings Williams, Sécurité des réseaux, applications et standards,
Vuibertinformatique, 2002.

1 Pr BELKHIR A
Sécurité informatique et réseaux

Chapitre 1 : INTRODUCTION

La sécurité est l’ensemble des mesures permettant d’assurer la protection des

biens/valeurs. En informatique, on distingue deux types de biens à savoir :
1. l’information, les données : donnée financières, clientèles, données
personnelles, bases de données, …
2. les systèmes permettant de traiter, véhiculer et stocker l’information : les
applications, les serveurs, les réseaux, bandes, cdrom, …

1.1 Buts de la sécurité :

La sécurité est essentielle pour la protection de trois caractéristiques critiques des
systèmes et de l’information qu’ils traitent et maintiennent à savoir :
- confidentialité : assure que l’information soit protégée contre toute
divulgation accidentelle ou malveillante aux parties non autorisées.
- Intégrité : assure que l’information et les systèmes soient protégés contre
toute modification ou destruction accidentelle ou malveillante.
- Disponibilité : assure que l’information et les systèmes soient accessibles et
utilisables pour les parties autorisées aux moments où elles en ont besoin.

A côté de ces caractéristiques de base, nous rencontrons également les composants

suivants :
- Authentification : assure l’identification d’un individu, d’une entité lais
également l’origine de l’information ou encore d’une opération effectuée sur
celle-ci.
- Autorisation : assure le contrôle du type d’activités ou d’information qu’une
personne ou entité est autorisée à effectuer ou accéder.
- Non répudiation (irréversibilité) : assure le fait qu’une personne ou entité
ne puisse nier avoir effectué une activité.
- Journalisation : assure que tout opération exercée sur ceux-ci soit
journalisée/répertoriée.

Le maintien du secret des informations peut être obtenu par des actions
complémentaires.
- Limiter leur accès par un mécanisme de contrôle d’accès
- Transformer les données par des procédures de chiffrement afin qu’elles
deviennent inintelligibles aux personnes ne possédant pas les moyens de les
déchiffrer.

1.2 Identification et authentification :

Les procédures d’identification et d’authentification doivent être mises en œuvre pour
contribuer à réaliser les mesures de sécurité assurant :
- La confidentialité et l’intégrité des données : seuls les ayant droit
identifiés et authentifiés peuvent accéder aux ressources et les modifier s’ils
sont habiletés à la faire.
- La non répudiation : seules les entités identifiées et authentifiées ont pu
réaliser telle action (preuve de l’origine d’un message ou d’une transaction,
preuve de destination d’un message). C’est le fait de ne pas pouvoir nier ou
rejeter qu’un évènement (action, transaction) a eu lieu.

2 Pr BELKHIR A
Sécurité informatique et réseaux

1.3 Domaines d’application de la sécurité :

Toutes les sphères d’activité de l’informatique sont concernées par la sécurité d’un
système d’information.
- Sécurité physique
- Sécurité d’exploitation
- Sécurité logique
- Sécurité applicative
- Sécurité de télécommunications

1.3.1 Sécurité physique :

Elle concerne tous les aspects liés à la maîtrise des systèmes et de l’environnement
dans les quels ils se trouvent.
- Protection des sources énergétiques (alimentation, ..)
- Protection de l’environnement (incendie, température, humidité,
poussière,…)
- Protection des accès (protection physique des équipements,
infrastructure câblée,..)

1.3.2 Sécurité de l’exploitation :

C’est tout ce qui touche au bon fonctionnement du système. Elle comprend la mise en
place d’outils et de procédures relatifs aux méthodologies d’exploitation, de
maintenance, de test, de diagnostic et de mise à jour.
Elle comprend :
- Plan de sauvegarde
- Plan de secours
- Plan de continuité
- Plan de tests
- Gestion des configurations et des mises à jour
- Gestion des incidents et suivi jusqu’à leur résolution

1.3.3 Sécurité logique :

Elle fait référence à la réalisation de mécanismes de sécurité par logiciel. Elle repose
principalement sur une mise œuvre adéquate d’un processus de contrôle d’accès
logique qui s’appuie sur un triple service d’identification d’authentification et
d’autorisation.
La sécurité logique repose ne grande partie sur les dispositifs mis en place pour
garantir la confidentialité dont la cryptographie, une gestion efficace des mots de
passe et des procédures d’authentification complétées par des mesures antivirus et de
sauvegarde des informations sensibles sur les disques durs extractibles et conservés
dans des lieux sécurisés.

1.3.4 Sécurité applicative :

Elle comprend un développement pertinent de solutions logicielles ainsi que leur
intégration et exécution harmonieuses dans les environnements opérationnels :
- Méthodologie de développement
- Robustesse des applications

3 Pr BELKHIR A
Sécurité informatique et réseaux

- Jeux de tests

1.3.5 Sécurité des télécommunications :

Elle consiste à assurer aux applications communicantes une connectivité fiable et de
qualité (bout en bout).

1.4 Les facettes de sécurité :

1.4.1 Diriger la sécurité :
La sécurité d’une entreprise passe par la définition d’une politique de sécurité, la
motivation et la formation du personnel, la mise en place de mesures ainsi que par
l’optimisation des solutions. L’utilisation d’outils ou de technologies de sécurité ne
peut pas résoudre les problèmes de sécurité d’une organisation.

1.4.2 Importance juridique :

La responsabilité des acteurs est invoquée lors de sinistre où les ressources
informatiques qu’ils gèrent sont l’objet ou le moyen d’une fraude.

1.4.3 Ethique et formation :

Une éthique sécuritaire doit être développée au sein de l’entreprise pour tous les
acteurs d’un système informatique. Elle doit se traduire par une charte reconnue par
chacun et par un engagement personnel à le respecter.
La charte doit comporter les clauses suivantes :
- Domaine d’application
- Définition des moyens et procédures d’accès aux ressources informatiques et
services Internet
- Règles d’utilisation professionnelles, rationnelles et loyales des ressources
- Respect de la législation concernant les logiciels.

1.5 Architecture de sécurité :

1.6 Les attaques :

4 Pr BELKHIR A
Sécurité informatique et réseaux

1.7 Typologie des attaques :

Les attaques qui modifient les données sont dites actives tandis que celles relevant de
l’écoute sont qualifiées de passives.

1.8 Politique de sécurité :

Définition : une politique de sécurité est un ensemble de règles qui fixent les actions
autorisées et interdites dans le domaine de la sécurité.

1.8.1 Etapes types dans l’établissement d’une politique de sécurité :

- Identifier les besoins : en termes de sécurité, les risques informatiques pesant
sur l’entreprise et leurs éventuelles conséquences
- Elaborer des règles et des procédures : à mettre en œuvre dans les différents
services de l’organisation pour les risques identifiés.
- Surveiller et détecter les vulnérabilités : du système d’information et se tenir
informé des failles sur les applications et matériels utilisés.
- Définir les actions : à entreprendre et les personnes à contacter en cas de
détection d’une menace.

5 Pr BELKHIR A
Sécurité informatique et réseaux

1.8.2 Phase de définition :

Elle consiste à déterminer les besoins de l’organisation, ensuite d’étudier les différents
risques et la menace qu’ils représentent afin de mettre en œuvre une politique de
sécurité adaptée.
Cette phase comporte trois étapes :
a. L’identification des besoins
b. L’analyse des risques
c. La définition de la politique de sécurité
a) l’identification des besoins consiste à faire l’inventaire du système
d’information notamment les éléments suivants :
- personnes et fonctions
- matériels, serveurs et les services qu’ils délivrent
- cartographie du réseau (plan d’adressage, topologie physique,
topologie logique,…)
- liste des noms de domaines de l’entreprise
- infrastructure de communication (routeurs, commutateurs, …)
- données sensibles
b) l’analyse des risques consiste à répertorier les différents risques en cours, à
estimer leur probabilité et enfin à étudier leur impact. La meilleure approche
pour analyser l’impact d’une menace est d’estimer le cout des dommages
qu’elle causerait. Il est intéressant de dresser un tableau des risques et de leur
potentialité (ie leur probabilité de se produire) en leur affectant des niveaux
échelonnés selon un barème à définir ( sans objet : la menace n’a pas lieu
d’être, faible : la menace a peu de chance de se produire, moyenne : la menace
est réelle ; haute : la menace a de grande chance de se produire).
c) Définition de la politique de sécurité : est le document de référence définissant
les objectifs poursuivis en matière de sécurité et les moyens mis en œuvre pour
les assurer. Elle définit un certain nombre de règles, de procédure et de bonnes
pratiques permettant d’assurer un niveau de sécurité conforme aux de
l’organisation.

1.8.3 Méthode pratiques :

Il existe de nombreuses méthodes permettant de mettre au point une politique de
sécurité :
- MEHARI (MEthode Harmonisée d’Analyse desRIsques)
- EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité)
- ISO 27005

6 Pr BELKHIR A