REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix- Travail- Patrie Peace- Work- Fatherland

-------------- --------------
Université de Yaoundé I University of Yaounde I
-------------- ----------------
Ecole Nationale Supérieure Polytechnique National Advanced School of Engineering
-------------- --------------
DÉPARTEMENT DE GÉNIE INFORMATIQUE COMPUTER SCIENCES DEPARTMENT
-------------- --------------

HUMANITES NUMERIQUES
Niveau 3

SECURITE INFORMATIQUES

FIL CONDUCTEUR DU COURS

Par :
Enseignant: Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert.

Année académique 2023-2024

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
TABLE DES MATIERES
LISTE DES TABLEAUX ..................................................................................................................... 9
LISTE DES IMAGES ........................................................................................................................... 9
LISTE DES ABREVIATIONS ET SIGLES ..................................................................................... 10
QUELQUES DEFINITIONS ET EXPRESSIONS DU JARGON ................................................. 11
SYLLABUS ......................................................................................................................................... 13
INTERVENANTS ............................................................................................................................... 18
1. INTRODUCTION GENERALE ............................................................................................... 20
2.1. Historique de la sécurité informatique.............................................................................. 20
2.2. Différence entre sécurité informatique et cybersécurité.................................................. 21
2.3. La cyberguerre et l’asymétrie des attaques ...................................................................... 22
2.4. La nécessité d’un cours de sécurité informatique ............................................................ 23
2.5. Prérequis au cours .............................................................................................................. 23
2.6. Plan du cours ....................................................................................................................... 24
I. DEFINITIONS, CONCEPTS ET BASES POUR LE COURS ............................................... 26
I.1. Définitions, concepts et bases de la sécurité informatique .............................................. 26
1. Confidentialité....................................................................................................................... 26
2. Disponibilité.......................................................................................................................... 26
3. Intégrité ................................................................................................................................. 26
4. Non répudiation .................................................................................................................... 27
5. Cryptographie ....................................................................................................................... 27
6. Hachage ................................................................................................................................ 27
7. Attaques informatiques ......................................................................................................... 27
I.2. Définitions, concepts et bases de la cybersécurité ............................................................ 28
1. Malware .................................................................................................................................... 28
2. Vers............................................................................................................................................ 28
3. Ransomware .............................................................................................................................. 28
4. Ingénierie Sociale ..................................................................................................................... 28
5. Dos et DDos .............................................................................................................................. 29
6. Botnet ........................................................................................................................................ 29
I.3. Définitions, concepts et bases de la gestion des risques ................................................... 29
1. Menace ...................................................................................................................................... 29
2. Vulnérabilité .............................................................................................................................. 30
3. Impact ....................................................................................................................................... 30
4. Probabilité ................................................................................................................................. 30
5. Risque Informatique.................................................................................................................. 30

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 2 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
I.4. Définitions, concepts et bases de la gestion des actifs ...................................................... 30
1. Actif .......................................................................................................................................... 30
2. Actif Primaire............................................................................................................................ 31
3. Actif Secondaire........................................................................................................................ 31
I.5. Définitions, concepts et bases en architecture et Ingénierie de sécurité ......................... 31
1. Architecture de sécurité ............................................................................................................ 31
2. Contremesures........................................................................................................................... 31
3. Cryptanalyse ............................................................................................................................. 31
4. Virtualisation ............................................................................................................................. 32
I.6. Définitions, concepts et bases des réseaux et communications........................................ 32
1. Réseaux informatiques .............................................................................................................. 32
2. Topologie .................................................................................................................................. 32
3. Protocole ................................................................................................................................... 32
4. Sécurité réseau .......................................................................................................................... 32
5. Pare-feu ..................................................................................................................................... 32
6. IDS/IPS ..................................................................................................................................... 32
I.7. Définitions, concepts et bases de la gestion des accès et des identités ............................. 32
1. Authentification ..................................................................................................................... 32
2. Autorisation........................................................................................................................... 33
3. Journalisation ....................................................................................................................... 33
4. Contrôle d’accès ................................................................................................................... 33
I.8. Définitions, concepts et bases de la sécurité des opérations ............................................ 33
1. Incident ..................................................................................................................................... 33
2. Activité ...................................................................................................................................... 34
3. Opération .................................................................................................................................. 34
4. Virtualisation............................................................................................................................. 34
5. Contrôle .................................................................................................................................... 34
I.9. Définitions, concepts et bases du développement sécurisé d’application ....................... 34
1. Besoins fonctionnels.................................................................................................................. 34
2. Besoins non fonctionnels........................................................................................................... 34
3. Logiciel ..................................................................................................................................... 35
4. Cycle de vie logiciel .................................................................................................................. 35
I.10. Evaluation des acquis ......................................................................................................... 36
II. SECURITY AND RISK MANAGEMENT ........................................................................... 38
II.1. INTRODUCTION............................................................................................................... 38
II.2. Gouvernance de la Sécurité de l’Information .................................................................. 38

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 3 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
1. Elaboration des politiques de sécurité .................................................................................. 38
2. Procédures de sécurité .......................................................................................................... 39
3. Rôles et responsabilité .......................................................................................................... 40
II.3. Contrôle d’accès .................................................................................................................. 41
1. Les contrôles d’accès physique ............................................................................................. 41
2. Les contrôles d’accès technico-logique ................................................................................ 41
II.4. Analyse des risques ............................................................................................................. 42
2. Evaluation des risques .............................................................................................................. 44
3. Traitement du risque ............................................................................................................. 44
II.5. Loi et régulation .................................................................................................................. 45
1. Lois internationales .............................................................................................................. 45
2. Lois nationales ...................................................................................................................... 45
II.6. Sécurité de tierces parties ................................................................................................... 45
1. Responsabilité de la gestion des risques liés aux tierces parties ............................................... 46
2. Cadre de la gestion des risques liés aux tierces parties ........................................................ 46
II.7. Ethique et déontologie ........................................................................................................ 47
II.8. Type d’attaquants ............................................................................................................... 48
II.9. Evaluation des acquis ......................................................................................................... 49
II.10. TP ..................................................................................................................................... 49
III. Sécurité des Actifs ................................................................................................................... 51
III.1. Introduction ..................................................................................................................... 51
III.2. Classification des données .............................................................................................. 51
Niveaux de sensibilité des données ............................................................................................... 51
Méthodes de classification des données........................................................................................ 52
III.3. Protection des données.................................................................................................... 52
1. Modèles de contrôles d’accès ............................................................................................... 53
2. Mesures technico-logiques.................................................................................................... 54
III.4. Appartenance .................................................................................................................. 54
1. Définition et importance ....................................................................................................... 54
2. Méthodes pour déterminer l'appartenance ............................................................................ 54
3. Gestion des droits d'accès en fonction de l'appartenance ...................................................... 55
4. Bonnes pratiques pour la gestion de l'appartenance .............................................................. 55
III.5. Mémoire, rémanence et destruction .............................................................................. 55
1. Définition et enjeux............................................................................................................... 55
2. Bonnes pratiques en matière de stockage.............................................................................. 56
3. Risques associés à la rémanence ........................................................................................... 57

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 4 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
4. Méthodes d'effacement sécurisé............................................................................................ 57
III.6. Standards et référentiels de contrôle ............................................................................. 57
1. ISO/IEC 27001 : Système de management de la sécurité de l'information (SMSI) ............. 58
2. NIST SP 800-53 : Contrôles de sécurité pour les systèmes d'information fédéraux ............. 58
3. COBIT : Cadre de référence pour la gouvernance et la gestion des TI................................. 58
4. CIS Critical Security Controls : Contrôles de sécurité essentiels ......................................... 58
5. PCI DSS : Norme de sécurité des données pour l'industrie des cartes de paiement ............. 59
III.7. Evaluation des acquis...................................................................................................... 59
III.8. TP ..................................................................................................................................... 61
IV. Ingénierie et architecture de sécurité .................................................................................... 64
1. INTRODUCTION ..................................................................................................................... 64
2. Modèle de sécurité .................................................................................................................... 64
a) Modèle de Bell-Lapadula ...................................................................................................... 65
b) Modèle de Biba ..................................................................................................................... 66
c) Chinese wall .......................................................................................................................... 66
3. Fondamentaux de la conception d’architecture de sécurité ..................................................... 67
a) Les principes de base de la conception d'une architecture de sécurité .............................. 67
b) Les étapes de la conception d'une architecture de sécurité ................................................ 69
4. Architecture matérielle sécurisée .......................................................................................... 70
a) Les vulnérabilités et les menaces liées au matériel .............................................................. 70
b) Les mesures de sécurité pour protéger le matériel ............................................................... 70
5. Systèmes d’exploitation et Architecture logiciel ....................................................................... 71
a) Principe de bases d’un système d’exploitation ..................................................................... 71
b) Vulnérabilités et menaces liés aux systèmes d’exploitation .................................................. 72
c) Principes de bases de l’architecture logiciel ........................................................................ 72
6. Virtualisation............................................................................................................................. 73
7. Introduction à la Cryptographie ............................................................................................... 74
8. Algorithmes symétriques ........................................................................................................... 74
a) Chiffrement de cesar ............................................................................................................. 74
b) Chiffrement de Vigenere ........................................................................................................ 75
c) Chiffrement de HILL ............................................................................................................. 77
9. Algorithmes asymétriques ......................................................................................................... 79
10. Fonction de hachage ............................................................................................................. 81
11. Cryptanalyse ......................................................................................................................... 82
12. Sécurité physique .................................................................................................................. 83
13. Evaluation des acquis ......................................................................................................... 84

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 5 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
14. TP ......................................................................................................................................... 89
V. Réseaux et communications ....................................................................................................... 93
1. Les modèles réseaux ................................................................................................................ 93
2. Protocoles des couches de basses ........................................................................................... 97
3. Protocoles applicatifs fondamentaux..................................................................................... 98
4. Technologies LAN et WAN ................................................................................................... 100
5. Périphériques réseaux........................................................................................................... 101
6. Communications Sécurisées ................................................................................................. 102
a) Les protocoles de sécurité .................................................................................................. 103
b) Les certificats numériques et les autorités de certifications ............................................. 104
c) Les VPN .............................................................................................................................. 105
7. Attaques réseaux ................................................................................................................... 106
9. TP ........................................................................................................................................... 110
VI. Gestion des identités et des Accès ........................................................................................ 113
1. Méthodes d’authentification ................................................................................................ 113
2. Implémentation des contrôles d’accès ................................................................................. 114
3. Modèles des contrôles d’accès .............................................................................................. 114
4. Evaluation des acquis ........................................................................................................... 115
5. TP ........................................................................................................................................... 119
VII. Evaluation et tests de la sécurité .......................................................................................... 123
1. L’importance des tests de sécurité ....................................................................................... 123
2. Type de test de sécurité ......................................................................................................... 124
3. Les étapes d’un test de sécurité ............................................................................................ 125
a) L’autorisation et l’établissement du périmètre .................................................................. 125
b) La reconnaissance.............................................................................................................. 125
c) Scanning et énumération ................................................................................................... 128
d) La recherche des vulnérabilités ......................................................................................... 129
e) L’exploitation ..................................................................................................................... 131
f) L’élévation des privilèges ................................................................................................... 132
g) Le nettoyage........................................................................................................................ 133
h) Le reporting ........................................................................................................................ 133
4. Evaluation des acquis ........................................................................................................... 133
5. TP ........................................................................................................................................... 137
VIII. Opérations de Sécurité...................................................................................................... 139
1. Sécurité Administrative ........................................................................................................ 139
a) La gouvernance de la sécurité ........................................................................................... 139

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 6 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) Les politiques de sécurité ................................................................................................... 139
c) La sensibilisation à la sécurité informatique .................................................................... 139
d) La conformité règlementaire ............................................................................................. 140
e) Les audits de sécurité ......................................................................................................... 140
2. Investigation numérique ....................................................................................................... 140
a) Chain of custody................................................................................................................. 141
b) Collecte des preuves ........................................................................................................... 141
c) Analyse des éléments collectés ........................................................................................... 142
d) La rédaction du rapport ..................................................................................................... 142
3. Gestion des incidents............................................................................................................. 143
a) La préparation .................................................................................................................... 144
b) Détection et analyse ........................................................................................................... 144
c) Contenir, éradiquer et recouvrer ....................................................................................... 145
d) Les activités post-incident .................................................................................................. 146
4. Contrôles opérationnels ........................................................................................................ 146
a) Contrôles de sécurité physiques ......................................................................................... 147
b) Contrôles de sécurité logiques ........................................................................................... 147
c) Contrôles de sécurité administratifs .................................................................................. 148
5. Gestion des actifs IT.............................................................................................................. 149
6. Tolérance aux pannes............................................................................................................ 149
a) La haute disponibilité......................................................................................................... 149
b) Les architectures redondantes ........................................................................................... 149
7. Plan de continuité des activités ............................................................................................ 150
8. Plan de reprise après sinistre ............................................................................................... 151
9. Evaluation des acquis ........................................................................................................... 151
10. TP ....................................................................................................................................... 155
IX. Sécurité des applications ...................................................................................................... 158
1) Les méthodes de développement .......................................................................................... 158
2) Evaluation de la sécurité des logiciels ................................................................................. 159
a) Les vulnérabilités logicielles ............................................................................................. 159
b) Les types de test de la sécurité logiciels ........................................................................... 160
c) La méthodologie des tests de la sécurité logiciels ........................................................... 161
3) Les bases de données ............................................................................................................. 161
a) Les bases de données SQL ................................................................................................. 162
b) Les bases de données NoSQL ........................................................................................... 163
c) Les injections dans les bases de données........................................................................... 165

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 7 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
4) Programmation Orientée objet .......................................................................................... 167
5) Programmation sécurisée ...................................................................................................... 168
6) Evaluation des acquis ............................................................................................................ 169
7) TP............................................................................................................................................ 174
Faire l’évaluation de la sécurité de l’application des gestions de notes de l’ENSPY ..................... 174

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 8 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
LISTE DES TABLEAUX

Tableau 1: Quelques risques informatiques et leurs facteurs ......................... Erreur ! Signet non défini.
Tableau 2: Liste des documents à solliciter ................................................... Erreur ! Signet non défini.
Tableau 3: Suivi des documents sollicités ..................................................... Erreur ! Signet non défini.
Tableau 4: structure idéale d'un rapport de mission d'audit ........................... Erreur ! Signet non défini.
Tableau 5: Principes et composantes du COSO............................................. Erreur ! Signet non défini.
Tableau 6: Les cinq (5) domaines du COBIT 2019 ....................................... Erreur ! Signet non défini.
Tableau 7: ISO applicables à la sécurité des technologie de l'information et d'usage courant en audit
des SI.............................................................................................................. Erreur ! Signet non défini.

LISTE DES IMAGES

Figure 1: les ratios des notes ................................................................................................................. 15

Figure 2 Cylcle de gestion des risques .................................................................................................. 42
Figure 3 Défense en profondeur ........................................................................................................... 68
Figure 4 Segmentation réseau .............................................................................................................. 68
Figure 5 Encapsulation Modèle OSI ...................................................................................................... 95
Figure 6 Encapsulation modèle TCP/IP ................................................................................................. 97
Figure 7 VPN pour la connexion à distance ........................................................................................ 106
Figure 8 Gestion des incidents IT ........................................................................................................ 146

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 9 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
LISTE DES ABREVIATIONS ET SIGLES

ANTIC : Agence nationale des Technologies de l’Information et de la Communication

DSI : Division des Systèmes d’Information
MOA : Maitrise ouvrage
MOE : Maitrise d’œuvre
POS : Plan d’Occupation des Sols
BPR : Business Process Reengineering (Réingénierie des processus)
BSC : Balanced Score Card (Tableau de bord prospectif)
COBIT : Control Objectives for Information and related Technology (Référentiel de contrôle
interne informatique)
COMEX : Comité exécutif
HD : Help desk (Plateau d’assistance technique)

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 10 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
QUELQUES DEFINITIONS ET EXPRESSIONS DU JARGON

Batch : Séquence de traitement automatique, également appelée « traitement par

lots », généralement réalisée en temps différé.

Gouvernance du SI : La « Gouvernance des Systèmes d'Information » ou «

Gouvernance informatique » désigne le dispositif mis en place par une
organisation pour contrôler et réguler son SI. À ce titre, la gouvernance du SI fait
partie intégrante de la gouvernance de l’organisation et consiste d'abord à fixer
au SI des objectifs découlant de la stratégie de l'organisation.

Schema Directeur et Plan Strategique Informatique : Le schéma directeur est

un plan stratégique destiné à piloter le développement de l'informatique dans
l'organisation, en cohérence avec sa stratégie générale. Un schéma directeur
informatique décrit le système informatique actuel et futur, dans une logique
d’objectifs et de services attendus. Il offre donc une vue globale de l’état présent
du système, un inventaire et une spécification des besoins, et définit des
orientations. Il est approuvé par le plus haut niveau de l’organisation. Il doit faire
l’objet d’arbitrages clairs portant sur les finalités visées, les adaptations de
processus opérationnels, les ressources humaines et financières affectées, les
étapes et le calendrier de réalisation. Sa durée de vie est généralement comprise
entre deux et six ans.

Plan d’Occupation des Sols (POS) : C’est un plan d’occupation dans lequel le
patrimoine applicatif est réparti en zones, quartiers, ilots et blocs fonctionnels.
Les applications actuelles et futures y sont réparties entre chacune des
subdivisions.

Maitrise d’Ouvrage (MOA) et Maitrise d’Œuvre (MOE): La maîtrise d’ouvrage

est le commanditaire du projet informatique. La maîtrise d’œuvre est
l’exécutante, celle qui réalise la commande passée.

Informatique en Nuage ou Cloud Computing : L’informatique en nuage est une

technologie qui consiste à s’appuyer sur les capacités des réseaux pour mettre à
la disposition des utilisateurs finaux un service, fourni par des logiciels et une
infrastructure informatique souvent distants.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 11 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Plan de Continuité de l’Activité (PDCA) : C’est un ensemble de mesures qui
permettraient à une organisation de poursuivre son activité, en particulier ses
fonctions critiques à un niveau acceptable, pendant un sinistre.

Plan de Reprise de l’Activité (PDRA) : C’est un ensemble de mesures qui

permettraient à une organisation de reprendre son activité après un sinistre, par
exemple une panne qui paralyserait son SI. Il s’agit du retour à la normale.

Progiciel de Gestion Integree – PGI (ERP) : Un PGI (progiciel de gestion

intégré) ou ERP (Enterprise Resources Planning) est un progiciel qui intègre les
principales composantes fonctionnelles de l'entreprise : gestion de production,
gestion commerciale, logistique, ressources humaines, comptabilité, contrôle de
gestion. À l'aide de ce système unifié, les utilisateurs de différents métiers
travaillent dans un environnement applicatif identique qui repose sur une base de
données unique. Ce modèle permet d'assurer l’intégrité des données, la non-
redondance de l'information, ainsi que la réduction des temps de traitement.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 12 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
SYLLABUS

Syllabus du cours de Sécurité Informatique dispensé en troisième année de

licence à l’Ecole Nationale Supérieure Polytechnique de Yaoundé :

1. Dispensé par :
1.1. Enseignant : Thierry MINKA, Sr-Eng., Sr-Auditor, GRC Expert

2. Durée : xxx heures allouées

2.1. Cours en salle : xxx heures
2.2. Travaux Dirigés en salle : 10 heures
2.3. Travaux Personnels de l’Apprenant : 40 heures

3. Objectif global du cours :

L’objectif global du cours est de capaciter les apprenants en leur fournissant
les bases du métier d’auditeur en général, et de celles d’auditeur des Systèmes
d’Information en particulier.

4. Contenu du cours
N° Sections du Cours Objectifs
1 Introduction Fixer le contexte global du cours
2 LIVRE I : Définitions, concepts et bases pour le cours
2.1 Définitions, concepts et bases de la sécurité informatique
2.2 Définitions, concepts et bases de la cybersécurité
2.3 Définitions, concepts et bases de la gestion des risques
2.4 Définitions, concepts et bases de la gestion des actifs
Donner les éléments de compréhension
2.5 Définitions, concepts et bases en architecture et Ingénierie de sécurité
et notions manipulées dans le cours
2.6 Définitions, concepts et bases des réseaux et communications
2.7 Définitions, concepts et bases de la gestion des accès et des identités
2.8 Définitions, concepts et bases de la sécurité des opérations
2.9 Définitions, concepts et bases du développement sécurisé d’application
2.10 Evaluation des acquis
3 LIVRE II: Security and Risk Management
3.1 Introduction
3.2 Gouvernance de la Sécurité de l’Information
3.3 Contrôle d’accès
3.4 Analyse des risques Donner les éléments de compréhension
3.5 Loi et régulation liés à la gestion des risques, un des
3.6 Sécurité de tierces parties domaines majeur de la sécurité.
3.7 Ethique et déontologie
3.8 Type d’attaquants
3.9 Evaluation des acquis
3.10 TP
4 LIVRE III : Sécurité des Actifs
4.1 Introduction
Donner les éléments de compréhension
4.2 Classification des données
liés aux actifs, leur importance et leur
4.3 Protection des données
protection.
4.4 Appartenance
4.5 Mémoire, rémanence et destruction

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 13 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
4.6 Standards et référentiels de contrôle
4.7 Evaluation des acquis
4.8 TP
5 LIVRE IV : Ingénierie et architecture de sécurité
5.1 Introduction
5.2 Modèle de Sécurité
5.3 Fondamentaux de la conception d’architecture de sécurité
5.4 Architecture matérielle sécurisée
5.5 Systèmes d’exploitation et Architecture logiciel
5.5 Virtualisation Donner les éléments de compréhension
5.6 Vulnérabilités systèmes, menaces et contremesures liés aux différents modèles de sécurités,
5.7 Introduction à la Cryptographie ainsi que les fondements de la
5.8 Algorithmes symétriques cryptographie et de la sécurité physique.
5.9 Algorithmes asymétriques
5.10 Fonction de hachage
5.11 Cryptanalyse
5.12 Sécurité physique
5.13 Evaluation des acquis
5.14 TP
6 LIVRE V : Réseaux et communications
6.1 Introduction
6.2 Modèles réseaux
6.3 Protocoles de couches basses Rappeler les fondamentaux des modèles
6.4 Protocoles applicatifs fondamentaux et protocoles réseaux. Présenter de
6.5 Technologies LAN et WAN méthodes et mécanismes de sécurisation
6.6 Périphériques réseaux des réseaux ainsi décrits et de
6.7 Communications Sécurisées communications qui y circulent.
6.8 Attaques réseaux
6.9 Evaluation des acquis
6.10 TP
7 LIVRE VI : Gestion des identités et des Accès
7.1 Introduction
7.2 Méthodes d’authentification
Préciser l’importance de la gestion de
7.3 Implémentation des contrôles d’accès
l’identité, et donner les base sur le
7.4 Modèles de contrôle d’accès
contrôle d’accès
7.5 Interfaces contraintes
7.6 Evaluation des acquis
7.7 TP
8 LIVRE VII : Evaluation et tests de la sécurité
8.1 Introduction Donner les éléments de compréhension
8.2 Evaluation des contrôles d’accès liés à la l’évaluation des contrôles
8.3 Méthodes de test des logiciels d’accès, et présenter des méthodes de
8.4 Evaluation des acquis tests de logiciels.
8.5 TP
9 LIVRE VIII : Opérations de Sécurité
9.1 Introduction
9.2 Sécurité Administrative
9.3 Investigation numérique
9.4 Gestion des incidents
9.5 Contrôles opérationnels Présenter les différentes opérations de
9.6 Gestion des actifs IT sécurité, ainsi que la gestion des pannes.
9.7 Tolérance aux pannes
9.8 Plan de continuité des activité
9.10 Plan de reprise après sinistre
9.11 Evaluation des acquis
9.12 TP
10 LIVRE IX : Sécurité des applications Donner les éléments de compréhension
10.1 Introduction liés à la programmation sécurisée.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 14 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
10.2 Méthodes de développement
10.3 Evaluation de la sécurité des logiciels
10.4 Bases des données
10.5 Programmation orientée objet
10.6 Programmation sécurisée
10.7 Evaluation des acquis
10.8 TP
5. Critères d’évaluation :
Les apprenants seront évalués suivants plusieurs axes :
✓ Assiduité :
o La présence au cours ;
o La participation aux échanges durant le cours ;
o Le retour des devoirs dans les délais prescrits.
✓ L’appropriation :
o La compréhension du cours ;
o La rétention du cours ;
o La capacité à restituer les concepts en ses propres termes.

6. Evaluations
L’évaluation de l’acquisition des connaissances dans le cadre de ce cours
prend en compte :
- Des travaux dirigés ;
- Un contrôle continu ;
- La participation au cours ;
- Des travaux de recherche.

Les ratios pour l’évaluation sont représentés dans l’image suivante :

Ratios des notes

20%
25%

5%

50%

TD: CC: Participation au cours Recherche

Figure 1: les ratios des notes

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 15 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 16 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Page laissée vide pour la prise de notes

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 17 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
INTERVENANTS
Thierry MINKA, Sr-Eng., Sr-Auditor, GRC Expert
Actuellement Doctorant et Enseignant Chercheur en GRC (Governance, Risk &
Compliance) à l’Ecole Nationale Supérieure Polytechnique de Yaoundé, sa
formation de base relève de l’ingénierie, dans laquelle il a obtenu tour à tour les
diplômes de Technicien Supérieur, d’Ingénieur des Travaux, de Master en
Informatique Appliquée à la Gestion d’Entreprise, d’Ingénieur de Conception, de
Master en Système Distribués Temps Réels.

Sous-Directeur dans les Services du Contrôle Supérieur de l’Etat, c’est un

auditeur chevronné, qui pratique l’audit au quotidien. A titre privé, il réalise des
audits à la demande pour plusieurs entreprises publiques et privés de la sous-
région.

Il est par ailleurs titulaire de plusieurs certifications en audit et les domaines

connexes (une trentaine). C’est le premier francophone au monde, à avoir terminé
le big 4 chez ISACA en 2020, ce qui lui a valu le titre de Guru.

Dans une autre vie, c’est l’un des cinq (5) Experts Judiciaires du pays en matière
de cybersécurité-cybercrimalité.

Il enseigne au PSSFP depuis 2016 et à l’Ecole Nationale Supérieure

Polytechnique de Yaoundé depuis 2017.

Il conduit actuellement des études sur des sujets liées à l’audit de SI à l’ère de
l’IA et la cybersécurité à l’ère de l’IA.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 18 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Page laissée vide pour la prise de notes

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 19 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
1. INTRODUCTION GENERALE
Dans le contexte contemporain des entreprises, les systèmes d'information sont
devenus omniprésents, jouant un rôle essentiel dans la facilitation des tâches des
employés et l'accélération des processus métier. Cette évolution résulte de
l'intégration croissante d'une gamme variée d'équipements informatiques, allant
des simples imprimantes aux ordinateurs complexes. Cependant, cette intégration
n'est pas sans risques, car elle ouvre la voie à une interconnexion étendue entre
ces équipements et les machines externes, offrant ainsi aux individus malveillants
des opportunités de vol de données, de perturbation du système ou même d'arrêt
complet pour des motivations diverses.

La maîtrise des techniques visant à protéger ces systèmes d'information revêt une
importance cruciale pour les étudiants en humanités numériques, dont la
formation vise principalement à utiliser les outils numériques pour favoriser le
développement humain. Ce cours adoptera une approche holistique en couvrant
à la fois les concepts généraux de sécurité informatique ainsi que des éléments
spécifiques pertinents pour diverses spécialisations telles que le data scientist, le
manager des systèmes d'information, l'investigateur numérique, le community
manager, le spécialiste en intelligence artificielle ou l'expert en cybersécurité.

2.1. Historique de la sécurité informatique

L'histoire de la sécurité informatique est intrinsèquement liée à l'évolution de

l'informatique elle-même. Chaque avancée technologique a engendré de
nouveaux défis et besoins en matière de protection.

Les origines (1940-1960) :

• La sécurité informatique trouve ses racines dans les années 1940, avec les
premiers ordinateurs Colossus et ENIAC.
• À cette époque, la préoccupation principale était la protection des secrets
militaires et gouvernementaux.
• Les techniques de protection étaient rudimentaires, basées sur des contrôles
d'accès physiques et des procédures manuelles.

L'essor des réseaux et la naissance de la sécurité réseau (1960-1980) :

• L'apparition des réseaux informatiques dans les années 1960 a marqué un

tournant majeur.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 20 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• La nécessité de sécuriser les données transmises entre les machines a donné
naissance à la sécurité réseau.
• Les premières technologies de sécurité réseau, comme le chiffrement et les
pares-feux, ont été développées durant cette période.

Le premier virus informatique et ses conséquences (1988) :

• C'est en 1988 que le premier virus informatique majeur, connu sous le nom
de "Morris", a été créé par Robert Tappan Morris, un étudiant à l'Université
Cornell.
• Ce virus a exploité une faille dans le système d'exploitation Unix pour se
propager à travers le réseau ARPANET, l'ancêtre d'Internet.
• L'infection a touché environ 6 000 ordinateurs, causant des dommages
importants et attirant l'attention sur la nécessité de renforcer la sécurité
informatique.

L'ère de la cybercriminalité (1980-2000) :

• L'expansion d'Internet dans les années 1980 a ouvert la voie à une nouvelle
ère de cybercriminalité.
• Les virus, les malwares et les attaques par déni de service (DoS) sont
devenus des menaces de plus en plus fréquentes.
• En réponse, l'industrie de la sécurité informatique a connu une croissance
exponentielle, avec l'apparition de nouvelles technologies et solutions de
protection.

Evolution de la sécurité informatique(2000-présent) :

• La sécurité informatique aujourd’hui comprend les réseaux, les systèmes

d’information, les données et les applications.
• L'intelligence artificielle, l'apprentissage automatique et l'automatisation
jouent désormais un rôle crucial dans la lutte contre les cybermenaces en
constante évolution.

2.2. Différence entre sécurité informatique et cybersécurité

Les termes "cybersécurité" et "sécurité informatique" sont souvent utilisés de

manière interchangeable, ce qui peut prêter à confusion. Il est important de
comprendre les nuances entre ces deux concepts pour mieux appréhender les
enjeux de la protection des systèmes d'information.

• Cybersécurité : La cybersécurité se concentre sur la protection des

systèmes informatiques et des données dans le cyberespace. Cela inclut

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 21 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
les appareils, les réseaux, les logiciels et les données stockées ou
transmises numériquement. L'objectif principal est de contrer les attaques
et les menaces provenant du monde numérique, comme les virus, les
malwares, les intrusions et le piratage.

• Sécurité informatique : La sécurité informatique a un champ

d'application plus large. Elle vise à protéger l'ensemble des systèmes
d'information, qu'ils soient numériques ou non. Cela inclut la protection
contre les menaces physiques (vol, destruction de matériel), les erreurs
humaines, les défaillances techniques et les catastrophes naturelles. La
sécurité informatique englobe donc la cybersécurité, mais elle s'étend
également à d'autres aspects de la protection des données et des systèmes.

2.3. La cyberguerre et l’asymétrie des attaques

Aujourd'hui, la sécurité informatique concerne non seulement les entreprises,
mais également les États, car leurs systèmes d'information, qui gèrent parfois des
infrastructures critiques, sont interconnectés et peuvent être la cible de
cyberattaques orchestrées par des acteurs étatiques ou des groupes de
cybercriminels. Cette réalité donne lieu à ce que l'on appelle la cyberguerre, un
concept où les conflits et les tensions entre États se déroulent dans le cyberespace.

La particularité de la cyberguerre réside dans son asymétrie par rapport aux

conflits traditionnels. Contrairement aux guerres physiques où la puissance
militaire conventionnelle est un facteur déterminant, dans le cyberespace, des
pays moins puissants sur le plan conventionnel peuvent infliger des dommages
significatifs à des nations plus grandes et mieux équipées. Cette asymétrie des
attaques souligne l'importance de la préparation et de la défense des
infrastructures numériques, car elles deviennent des cibles potentielles dans un
conflit virtuel.

La protection du cyberespace national est une préoccupation majeure, impliquant

non seulement les systèmes d'information de l'État, mais également ceux des
entreprises, qu'elles soient publiques ou privées. Les menaces peuvent provenir
aussi bien de l'intérieur du pays, avec des acteurs internes malveillants, que de
l'extérieur, avec des attaquants étrangers cherchant à compromettre la sécurité
nationale ou à obtenir des informations stratégiques.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 22 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

2.4. La nécessité d’un cours de sécurité informatique

La nécessité d'un cours de sécurité informatique est incontestablement mise en
lumière par l'actualité quotidienne. Avec la modernisation croissante des systèmes
d'information, la surface d'exposition aux attaques informatiques s'agrandit
considérablement, faisant face à des menaces de plus en plus fréquentes et
sophistiquées.

La sécurité informatique est devenue une préoccupation de premier plan, voire

une priorité absolue, dans un paysage où les entreprises, les institutions et même
les particuliers sont régulièrement confrontés à des cyberattaques. Il est impératif
que les étudiants en licence 3 acquièrent des bases solides en sécurité
informatique pour être en mesure de contribuer à la protection des systèmes
d'information dans les environnements où ils seront amenés à travailler.

En comprenant les principes fondamentaux de la sécurité informatique, ces

étudiants seront outillés pour sensibiliser leurs collègues et les décideurs aux
enjeux de la cybersécurité. Ils pourront ainsi jouer un rôle crucial dans la
promotion de bonnes pratiques de sécurité et dans la défense contre les menaces
numériques émergentes. En fin de compte, la formation en sécurité informatique
permet non seulement de prévenir les attaques, mais aussi de garantir la stabilité
et la résilience des systèmes d'information face aux défis actuels et futurs.

2.5. Prérequis au cours

Ce cours de sécurité informatique est conçu comme une introduction accessible
aux étudiants, et par conséquent, aucune connaissance préalable en sécurité
informatique n'est requise pour y participer. Cependant, une familiarité avec les
concepts de base liés aux réseaux informatiques ainsi qu'une compréhension des
algorithmes de chiffrement et de hachage seraient des atouts précieux pour les
participants.
Bien que nous abordions les concepts de sécurité informatique à partir de zéro,
une base solide dans des domaines connexes peut faciliter la compréhension et
l'assimilation des principes de sécurité.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 23 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2.6. Plan du cours
Le cours est subdivisé en neuf (09) parties :
- LIVRE I : Définitions, concepts et bases pour le cours
- LIVRE II: Security and Risk Management
- LIVRE III : Sécurité des Actifs
- LIVRE IV : Ingénierie et architecture de sécurité
- LIVRE V : Réseaux et communications
- LIVRE VI : Gestion des identités et des Accès
- LIVRE VII : Evaluation et tests de la sécurité
- LIVRE VIII : Opérations de Sécurité
- LIVRE IX : Sécurité des applications

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 24 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE I
DEFINITIONS, CONCEPTS ET
BASES
POUR LE COURS

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 25 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

I. DEFINITIONS, CONCEPTS ET BASES POUR LE COURS

I.1. Définitions, concepts et bases de la sécurité informatique

1. Confidentialité
La confidentialité, dans le domaine de la sécurité informatique, se réfère à la
protection des informations contre tout accès non autorisé. En d'autres termes,
c'est un principe fondamental qui garantit que seules les personnes ou les entités
autorisées peuvent accéder à des données sensibles. La confidentialité vise à
empêcher la divulgation ou la fuite d'informations confidentielles, qu'il s'agisse
de données personnelles, financières, commerciales ou gouvernementales.
2. Disponibilité
La disponibilité, en sécurité informatique, est une caractéristique essentielle
visant à garantir que les services et les systèmes informatiques restent accessibles
et fonctionnels à tout moment, selon des critères définis. Il s'agit d'assurer que les
utilisateurs légitimes puissent accéder aux ressources et aux fonctionnalités
nécessaires sans interruption indésirable.

Le niveau de disponibilité recherché peut varier en fonction de la taille de

l'entreprise, de ses besoins opérationnels et de la criticité des services offerts. Par
exemple, dans des secteurs comme la santé, où la vie des patients dépend souvent
de l'accessibilité des systèmes informatiques, un haut niveau de disponibilité
proche de 99,999% peut être impératif. En revanche, dans d'autres secteurs
comme la finance, des temps d'arrêt planifiés peuvent être tolérés à des heures de
faible activité, mais même dans ces cas, la disponibilité reste une préoccupation
majeure pour garantir des opérations fluides et fiables.
3. Intégrité
L'intégrité des données est un concept crucial en sécurité informatique, faisant
référence à l'état dans lequel les données sont conservées et transmises sans
altération non autorisée. L'objectif principal de l'intégrité est de s'assurer que les
données demeurent exactes, cohérentes et fiables tout au long de leur cycle de
vie, qu'il s'agisse de stockage ou de transmission.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 26 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Cela signifie que les données doivent être protégées contre toute modification
non autorisée, intentionnelle ou accidentelle.
4. Non répudiation
La non-répudiation est un principe fondamental en sécurité informatique qui
garantit qu'une fois qu'une action ou une transaction a été effectuée, les parties
impliquées ne peuvent pas la nier ou la rejeter par la suite. En d'autres termes,
l'expéditeur ne peut pas nier avoir envoyé un message, et le destinataire ne peut
pas nier l'avoir reçu.
5. Cryptographie
La cryptographie représente un pilier fondamental de la sécurité informatique,
jouant un rôle crucial dans la protection des données sensibles. Elle consiste en
l'application de techniques mathématiques et algorithmiques pour sécuriser les
communications et les informations en les rendant illisibles à toute personne
n'ayant pas la clé spécifique nécessaire pour les déchiffrer.
6. Hachage
Une fonction de hachage, en mathématiques, est un algorithme qui prend en
entrée des données de n'importe quelle taille et génère une sortie de taille fixe,
unique pour chaque entrée. Cette sortie, appelée "empreinte" ou "hash", agit
comme une sorte de "empreinte digitale" numérique des données d'entrée.
En sécurité informatique, les fonctions de hachage sont largement utilisées pour
garantir l'intégrité des données. Lorsqu'une donnée est soumise à une fonction de
hachage, toute modification, même minime, de cette donnée entraîne un
changement significatif dans la sortie du hachage. Ainsi, si deux ensembles de
données sont identiques, leurs hachages correspondants seront également
identiques. Cela permet de détecter toute altération ou altération accidentelle des
données, car même une modification mineure de celles-ci entraînera un
changement complet dans la sortie du hachage.

7. Attaques informatiques
Une attaque informatique est un événement, qu'il soit intentionnel ou non, qui
vise à compromettre l'une des propriétés fondamentales assurées par la sécurité
informatique : la confidentialité, la disponibilité ou l'intégrité des données et des
systèmes informatiques. Ces attaques peuvent prendre diverses formes, telles que
l'accès non autorisé aux données confidentielles, la perturbation des services en

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 27 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
ligne, la modification ou la falsification de données, ou encore obtenir un accès
non autorisé aux systèmes.
I.2. Définitions, concepts et bases de la cybersécurité
1. Malware
Le terme "malware" désigne un logiciel malveillant conçu pour exécuter des
actions nuisibles une fois qu'il est installé sur un système informatique. Ces
actions malveillantes peuvent inclure la copie, la suppression ou la modification
de données, ainsi que la perturbation ou l'arrêt complet du fonctionnement du
système. En outre, les logiciels malveillants peuvent être conçus pour voler des
informations confidentielles, espionner les activités de l'utilisateur, ou
compromettre la sécurité globale du système en ouvrant des portes dérobées pour
les cybercriminels.
2. Vers
Le ver est une forme spécifique de logiciel malveillant qui se caractérise par sa
capacité à se propager rapidement à travers les réseaux informatiques. Une fois
qu'il a infiltré un système, le ver tente activement de se reproduire en se copiant
lui-même et en se propageant à d'autres ordinateurs connectés au réseau. Une des
caractéristiques distinctives des vers est leur capacité à se dupliquer
automatiquement dès qu'ils détectent une connexion externe, comme l'insertion
d'une clé USB ou la connexion à un réseau distant. Cette capacité
d'autoréplication permet aux vers de se propager rapidement et de causer des
dommages à grande échelle en infectant un grand nombre de systèmes en peu de
temps.
3. Ransomware
Un ransomware, comme son nom l'indique, est une forme de logiciel malveillant
qui, une fois installé sur un système, crypte ou verrouille les fichiers ou les sous-
systèmes de manière à rendre leur accès impossible pour l'utilisateur légitime. En
échange de la restitution des fichiers ou de l'accès au système, les cybercriminels
exigent le paiement d'une rançon. Cette rançon est souvent demandée en
cryptomonnaie pour rendre les transactions difficiles à tracer.
4. Ingénierie Sociale
L'ingénierie sociale est une technique d'attaque informatique qui exploite les
vulnérabilités humaines, telles que la peur, la cupidité, la confiance ou la
soumission à l'autorité, pour tromper les individus et leur faire divulguer des
informations confidentielles ou prendre des actions indésirables. L'un des
exemples les plus répandus d'ingénierie sociale est le phishing, où les attaquants

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 28 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
envoient des e-mails ou des messages frauduleux soigneusement conçus pour
inciter les victimes à divulguer leurs identifiants de connexion, leurs informations
personnelles ou à cliquer sur des liens malveillants. Ces messages peuvent
sembler légitimes, provenir de sources apparemment fiables ou induire les
victimes en erreur en utilisant des tactiques telles que l'urgence, l'intimidation ou
la flatterie. En exploitant les faiblesses humaines, les attaques d'ingénierie sociale
contournent souvent les mesures de sécurité techniques et peuvent causer des
dommages importants aux individus et aux organisations.
5. Dos et DDos
"DoS" fait référence à "Denial of Service", une attaque informatique visant à
rendre un service indisponible pour les utilisateurs légitimes en inondant le
système cible avec un grand nombre de requêtes, ce qui entraîne une surcharge et
un dysfonctionnement du service.
"Distributed Denial of Service" (DDoS) est une variante de l'attaque DoS où les
attaquants utilisent un réseau de machines distribuées, souvent compromises par
des logiciels malveillants, pour lancer simultanément des attaques sur la cible.
Cette approche rend les attaques DDoS encore plus difficiles à contrer, car elles
proviennent de multiples sources, ce qui rend leur détection et leur blocage plus
complexes.
6. Botnet
Un botnet est un réseau composé de machines compromises, communément
appelées zombies, car elles ont été infectées par des logiciels malveillants et sont
contrôlées à distance par un seul individu ou groupe, appelé le maître ou le
contrôleur du botnet. Lorsqu'une attaque est lancée, le maître du botnet utilise ces
machines infectées pour amplifier la puissance de l'attaque ou pour masquer son
origine, rendant ainsi plus difficile la détection et l'identification des attaquants.
Les botnets sont souvent utilisés dans des attaques de type DDoS (Distributed
Denial of Service), où de nombreuses machines compromises sont synchronisées
pour envoyer simultanément un flux massif de trafic vers une cible spécifique,
submergeant ainsi ses capacités de traitement et le rendant indisponible pour les
utilisateurs légitimes. En plus des attaques DDoS, les botnets peuvent également
être utilisés pour envoyer du spam, voler des informations sensibles, exécuter des
escroqueries en ligne et d'autres activités malveillantes.
I.3. Définitions, concepts et bases de la gestion des risques
1. Menace
Une menace fait référence à toute action, événement ou entité susceptible de
causer des dommages, des perturbations ou des atteintes à la confidentialité, à
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 29 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
l'intégrité ou à la disponibilité des systèmes informatiques, des réseaux ou des
données. Les menaces peuvent être internes ou externes et peuvent inclure des
attaques de logiciels malveillants, des violations de données, des failles de
sécurité, des cyberattaques, des catastrophes naturelles ou tout autre événement
susceptible de compromettre la sécurité des informations.
2. Vulnérabilité
Une vulnérabilité se réfère à une faiblesse ou à une lacune dans un système
informatique, un logiciel, un réseau ou un processus qui peut être exploitée par
des attaquants pour compromettre la sécurité de l'ensemble. Les vulnérabilités
peuvent résulter de défauts de conception, de bugs de programmation, de
configurations incorrectes ou de l'absence de mises à jour de sécurité.
3. Impact
L’impact se réfère aux conséquences résultant de l'exploitation réussie d'une
vulnérabilité ou d'une attaque sur un système informatique, un réseau ou des
données.
4. Probabilité
La probabilité se réfère à l'estimation de la chance qu'un événement indésirable
se produise, tel qu'une exploitation de vulnérabilité, une cyberattaque ou une perte
de données. Cette probabilité est généralement évaluée en fonction de divers
facteurs, tels que la fréquence des menaces connues, la sophistication des
attaquants, la qualité des contrôles de sécurité en place, les tendances de sécurité
passées, et d'autres variables pertinentes.
5. Risque Informatique
Le risque informatique fait référence à la possibilité d'occurrence d'événements
indésirables ou de pertes liées à l'utilisation, à la manipulation ou à la gestion des
systèmes informatiques, des réseaux, des données ou des technologies de
l'information. Il est caractérisé par une combinaison de la probabilité d'occurrence
d'un événement et de son impact potentiel sur les activités, les finances, la
réputation ou la sécurité d'une organisation.
I.4. Définitions, concepts et bases de la gestion des actifs
1. Actif
Un actif est tout élément, ressource ou donnée qui a de la valeur pour une
organisation et qui doit être protégé contre les menaces et les risques potentiels.
Les actifs informatiques peuvent inclure une gamme diversifiée d'éléments, tels
que les données sensibles ou confidentielles, les logiciels, les matériels

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 30 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
informatiques, les réseaux, les infrastructures, les applications, les services, les
identifiants d'accès et les informations de propriété intellectuelle.
2. Actif Primaire
Un actif primaire, dans le contexte de la sécurité informatique, fait référence à un
élément essentiel pour le fonctionnement et la mission d'une organisation. Il s'agit
généralement d'un élément central qui représente une valeur critique pour
l'entreprise et dont la perte ou la compromission pourrait avoir un impact
significatif sur ses opérations, sa réputation ou sa rentabilité.
3. Actif Secondaire
Un actif secondaire dans le domaine de la sécurité informatique fait référence à
un élément ou une ressource qui, bien que moins critique que les actifs primaires,
reste néanmoins important pour les opérations et les processus d'une organisation.
Ces actifs contribuent souvent de manière indirecte à la mission globale de
l'entreprise et peuvent inclure une gamme de ressources telles que des logiciels
non essentiels, des équipements de bureau standard, des données non sensibles
ou des services de soutien.
I.5. Définitions, concepts et bases en architecture et Ingénierie de
sécurité
1. Architecture de sécurité
L'architecture de sécurité, se réfère à la conception globale et à la mise en place
des composants, des mécanismes et des politiques de sécurité au sein d'un
système informatique, d'un réseau ou d'une infrastructure technologique. Elle vise
à établir un cadre robuste et cohérent pour protéger les actifs informatiques,
prévenir les menaces et atténuer les risques potentiels.
2. Contremesures
Les contre-mesures, font référence aux actions proactives ou réactives mises en
œuvre pour prévenir, détecter ou atténuer les menaces et les risques pesant sur les
systèmes informatiques, les réseaux et les données. Ces mesures sont conçues
pour renforcer la sécurité globale d'une organisation et protéger ses actifs
informatiques contre les attaques, les vulnérabilités et d'autres types de risques.
3. Cryptanalyse
La cryptanalyse est l'étude des techniques visant à casser ou à contourner les
mécanismes de cryptage utilisés pour protéger les données et les communications.
Son objectif principal est de décrypter des messages chiffrés sans avoir accès à la
clé de chiffrement correspondante.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 31 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
4. Virtualisation
La virtualisation est une technologie qui permet de créer des versions virtuelles
ou simulées de ressources informatiques telles que des serveurs, des réseaux, des
systèmes d'exploitation ou des applications. Elle permet de consolider plusieurs
instances logiques sur un même matériel physique, ce qui offre de nombreux
avantages en termes d'efficacité, de flexibilité et de réduction des coûts.

I.6. Définitions, concepts et bases des réseaux et communications

1. Réseaux informatiques
Les réseaux informatiques sont des infrastructures qui permettent à plusieurs
dispositifs informatiques de communiquer et de partager des ressources entre eux.
Ces réseaux facilitent le transfert de données, la communication et l'accès aux
ressources partagées, qu'il s'agisse de fichiers, d'imprimantes, de périphériques
ou d'applications.
2. Topologie

La topologie d'un réseau informatique désigne la structure physique ou logique

de son agencement, déterminée par la manière dont les appareils et les câbles sont
connectés les uns aux autres. La topologie définit la disposition géographique des
nœuds et des liens dans le réseau.
3. Protocole
4. Sécurité réseau
5. Pare-feu
6. IDS/IPS
I.7. Définitions, concepts et bases de la gestion des accès et des identités

1. Authentification
L'authentification est un processus fondamental en sécurité informatique qui vise
à vérifier et à confirmer l'identité d'une entité, qu'il s'agisse d'un utilisateur, d'un
système ou d'un périphérique. Ce processus est crucial pour garantir que seules
les personnes ou les systèmes légitimes puissent accéder aux ressources ou aux
données sensibles. Les mécanismes d'authentification peuvent inclure une variété
d'éléments, tels que les mots de passe, les clés d'identification, les jetons
d'authentification, les certificats numériques, la biométrie, ou une combinaison
de ceux-ci.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 32 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2. Autorisation
L'autorisation, dans le domaine de la sécurité informatique, détermine les actions
spécifiques qu'une entité authentifiée est autorisée à effectuer ou à accéder dans
un système informatique donné. Elle définit les permissions et les privilèges
associés à l'identité vérifiée d'une entité une fois qu'elle est authentifiée.
3. Journalisation
La journalisation, également connue sous le nom de logging, est un processus
essentiel en sécurité informatique consistant à enregistrer et à conserver des traces
détaillées de toutes les activités effectuées par les utilisateurs, les applications ou
les systèmes au sein d'un environnement informatique donné. Ces
enregistrements servent de registre chronologique des événements et des actions,
capturant des informations telles que les accès aux données, les modifications de
configurations, les tentatives de connexion, et les erreurs.

L'objectif principal de la journalisation est de fournir une piste d'audit complète

et fiable, qui peut être utilisée pour surveiller, analyser et répondre à divers
scénarios, y compris les incidents de sécurité, les violations de politiques, et les
problèmes opérationnels. En cas d'incident, les journaux peuvent être examinés
pour déterminer la source du problème, évaluer son impact et prendre les mesures
correctives appropriées.
4. Contrôle d’accès
Le contrôle d'accès est un mécanisme de sécurité essentiel qui vise à réguler et à
limiter l'accès aux ressources, aux données ou aux zones d'un système
informatique ou d'un environnement physique. Il permet de déterminer quelles
entités, telles que les utilisateurs, les applications ou les périphériques, sont
autorisées à accéder à des ressources spécifiques, ainsi que les actions qu'elles
sont autorisées à effectuer une fois l'accès accordé.

I.8. Définitions, concepts et bases de la sécurité des opérations

1. Incident
En sécurité informatique, un incident est défini comme tout événement qui
compromet ou menace la sécurité, l'intégrité, la confidentialité ou la disponibilité
des données, des systèmes ou des réseaux informatiques. Ces incidents peuvent
être causés par des cyberattaques, des erreurs humaines, des défaillances
techniques ou d'autres événements imprévus.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 33 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2. Activité
Une activité peut être définie comme une action ou une série d'actions entreprises
dans le but spécifique d'atteindre un objectif déterminé. Ces actions peuvent être
réalisées par une ou plusieurs personnes, et peuvent impliquer l'utilisation de
ressources matérielles, logicielles ou humaines. Les activités peuvent être de
nature variée, allant de simples tâches quotidiennes à des projets complexes
nécessitant une coordination et une collaboration étendue.
3. Opération
Une opération peut être définie comme un type spécifique d'activité caractérisée
par sa nature souvent bien définie et répétitive. Elle implique généralement
l'utilisation d'outils et de technologies spécifiques pour réaliser des tâches
particulières de manière efficace et efficiente.
4. Virtualisation
En termes simples, la virtualisation permet d'exécuter plusieurs systèmes
d'exploitation sur un seul ensemble matériel, en créant des machines virtuelles
(VM) qui fonctionnent comme des ordinateurs autonomes, chacun exécutant son
propre système d'exploitation et ses propres applications. Cela permet une
utilisation plus efficace des ressources matérielles et une meilleure isolation des
environnements logiciels.
5. Contrôle
Le rôle d’un contrôle est de s’assurer du respect d’une règle connue, établie et
précise, avant la réalisation ou non d’une action subséquente.

I.9. Définitions, concepts et bases du développement sécurisé

d’application
1. Besoins fonctionnels
Un besoin fonctionnel en génie logiciel est une exigence essentielle pour le bon
fonctionnement d'un logiciel. Il représente une fonctionnalité ou un service
spécifique que le logiciel doit fournir pour répondre aux besoins de l'utilisateur
ou du système. Ces besoins fonctionnels décrivent ce que le logiciel doit faire et
sont généralement définis en termes d'actions, de tâches ou de comportements
attendus du système. Ils sont considérés comme indispensables car leur absence
ou leur mauvaise implémentation pourrait compromettre la valeur ou l'utilité du
logiciel pour l'utilisateur final.
2. Besoins non fonctionnels

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 34 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Un besoin non fonctionnel en génie logiciel est une exigence qui spécifie des
critères ou des caractéristiques de performance, de qualité, de sécurité ou d'autres
aspects du système qui ne sont pas directement liés à des fonctionnalités
spécifiques du logiciel. Contrairement aux besoins fonctionnels qui décrivent ce
que le logiciel doit faire, les besoins non fonctionnels définissent les contraintes
et les conditions dans lesquelles le logiciel doit fonctionner.

Bien que les besoins non fonctionnels soient importants pour la qualité globale
du système, leur absence ou leur non-respect n'empêchera pas nécessairement le
fonctionnement de base du logiciel.
3. Logiciel
Un logiciel est un ensemble de programmes informatiques conçus pour réaliser
des tâches spécifiques ou pour fournir des fonctionnalités particulières. Ces
programmes sont écrits dans un langage de programmation spécifique et sont
généralement regroupés et organisés de manière à fonctionner de manière
cohérente pour atteindre un objectif commun.
4. Cycle de vie logiciel
Un cycle de vie logiciel décrit l'ensemble des phases par lesquelles un logiciel
passe depuis sa conception initiale jusqu'à sa mise en production, sa maintenance,
voire sa désuétude. Ce processus est généralement constitué de plusieurs étapes
distinctes, chacune avec ses propres activités, objectifs et livrables.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 35 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
I.10. Evaluation des acquis
a- Donnez un exemple de cyberattaque qui illustre l’asymétrie dans la
cyberguerre
b- Modéliser un système de gestion de note avec les besoins fonctionnels et
non fonctionnels dans lequel vous décrivez les propriétés de
confidentialité, disponibilité, intégrité et non répudiation
c- Décrivez un cycle de vie logiciel et essayez d’expliquer comment la
sécurité peut y être intégré
d- Citez 5 fonctions de chiffrement
e- Citez 5 fonctions de hachage
f- Différence entre cryptographie et cryptanalyse
g- Donnez un exemple de ransomware célèbre
h- Exemples de logiciels de virtualisation
i- Que faire en cas d’attaque de ransomware ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 36 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE II
SECURITY AND RISK
MANAGEMENT

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 37 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

II. SECURITY AND RISK MANAGEMENT

II.1. INTRODUCTION
La quête de la sécurité informatique absolue demeure une illusion. Quels que
soient les moyens déployés pour protéger un Système d'Information (SI),
l'existence même de risques persiste, prêts à se manifester sous diverses formes
de menaces. C'est pourquoi il est essentiel de reconnaître que le risque est un
compagnon constant du SI, intrinsèquement lié à son fonctionnement. Cette
section s'attache à établir les fondements de la gestion des risques, tout en
explorant les domaines connexes qui façonnent le paysage de la sécurité
informatique. Nous examinerons les objectifs de la sécurité de l'information, nous
plongerons dans la compréhension des menaces courantes et nous décortiquerons
les motivations qui animent les attaquants. En comprenant ces éléments
fondamentaux, nous pourrons mieux appréhender la complexité de la sécurité
informatique et nous préparer à y faire face de manière proactive.
II.2. Gouvernance de la Sécurité de l’Information
Il est communément admis que la sécurité de l'information dépasse largement la
simple mise en place de mesures technologiques telles que les pares-feux, les
algorithmes de chiffrement ou les logiciels antivirus. Ces éléments, bien que
cruciaux, sont inefficaces si la sécurité n'est pas envisagée dès les premières
phases de la conception, puis intégrée de manière stratégique dans l'ensemble de
l'organisation. C'est précisément là que réside l'importance de la gouvernance de
la sécurité de l'information. En déployant une approche globale, cette
gouvernance élabore des stratégies visant à gérer les risques et à garantir la
réalisation des objectifs de sécurité à tous les niveaux de l'entreprise.
1. Elaboration des politiques de sécurité
Les politiques de sécurité constituent les éléments fondamentaux de la
gouvernance de la sécurité. Elles définissent les objectifs à atteindre en termes de
sécurité, énoncent les procédures à suivre pour les réaliser, ainsi que les contrôles
nécessaires pour garantir un niveau de risque minimal. Une politique de sécurité
doit être validée par la haute direction et diffusée à l'ensemble du personnel, car
au sein d'une entreprise, elle revêt un caractère impératif similaire à celui de la
loi. La mise en place d'une politique de sécurité est un processus critique qui doit
prendre en compte toutes les parties prenantes de l'entreprise. En effet, l'atteinte
des objectifs de sécurité ne doit en aucun cas entraver les objectifs commerciaux
de l'entreprise. Ainsi, elle est le fruit de plusieurs étapes, notamment :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 38 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

1. Identification des besoins et des objectifs : Cette étape implique une

évaluation approfondie des besoins en matière de sécurité, en tenant compte des
actifs critiques de l'entreprise, des menaces potentielles et des exigences
réglementaires.
2. Consultation des parties prenantes : Il est crucial d'impliquer toutes les
parties prenantes, y compris la direction, les responsables informatiques, les
employés et les départements clés, pour garantir que les politiques de sécurité
répondent aux besoins et aux réalités de l'entreprise.
3. Formulation des objectifs et des principes directeurs : À cette étape, les
objectifs spécifiques de la politique de sécurité sont définis, ainsi que les principes
directeurs qui guideront sa mise en œuvre. Il peut s'agir de garantir la
confidentialité des données, d'assurer l'intégrité des systèmes, ou encore de
promouvoir une culture de la sécurité au sein de l'entreprise.
4. Rédaction et validation : Les politiques de sécurité sont rédigées de manière
claire et concise, en veillant à ce qu'elles soient compréhensibles par tous les
membres de l'organisation. Elles doivent ensuite être examinées et validées par la
haute direction avant leur diffusion.
5. Diffusion et sensibilisation : Une fois approuvées, les politiques de sécurité
doivent être largement diffusées à l'ensemble du personnel. Des sessions de
sensibilisation peuvent également être organisées pour expliquer les principes et
les exigences de la politique de sécurité.
2. Procédures de sécurité
Les procédures de sécurité sont des dérivés directs des politiques de sécurité. Une
procédure se caractérise souvent par son aspect pas-à-pas, c'est-à-dire qu'elle doit
décrire précisément les étapes à suivre pour mener à bien une activité de sécurité
donnée, telles que le changement d'un mot de passe ou l'ajout d'un nouvel
utilisateur. Une procédure correctement documentée doit être attribuée à des
individus spécifiques qui auront des responsabilités et des rôles définis dans leur
mise en œuvre. De plus les éléments suivants doivent être prise en compte :

1. Révision et mise à jour : Les procédures de sécurité doivent être régulièrement

révisées et mises à jour pour refléter les changements dans l'environnement
informatique de l'entreprise, tels que l'ajout de nouvelles technologies ou
l'évolution des menaces.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 39 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2. Approbation et validation : Avant d'être mises en œuvre, les procédures de
sécurité doivent être approuvées par les parties prenantes appropriées, telles que
la direction, les responsables informatiques et les responsables des opérations.
3. Formation et sensibilisation : Il est essentiel de fournir une formation
adéquate aux personnes chargées de mettre en œuvre les procédures de sécurité,
ainsi qu'à l'ensemble du personnel pour s'assurer de leur compréhension et de leur
conformité.
4. Documentation et archivage : Les procédures de sécurité doivent être
soigneusement documentées et archivées dans un emplacement sécurisé et
accessible pour référence future et pour des raisons de conformité réglementaire.
5. Évaluation de l'efficacité : Il est important d'évaluer régulièrement l'efficacité
des procédures de sécurité pour identifier les lacunes et les possibilités
d'amélioration continue.
3. Rôles et responsabilité
Dans le cadre de la gouvernance de la sécurité de l'information, il est impératif de
définir clairement les rôles et les responsabilités associés. Cela garantit une
répartition efficace des tâches et une supervision adéquate des activités liées à la
sécurité.
Tout d'abord, le Directeur des Systèmes d'Information (DSI) joue un rôle
central dans la gouvernance de la sécurité de l'information. Sa responsabilité
principale est de superviser l'ensemble des systèmes d'information de l'entreprise,
y compris leur sécurité. Le DSI est chargé de définir la stratégie globale de
sécurité informatique, en alignant les objectifs de sécurité sur les objectifs
commerciaux de l'entreprise. Il veille également à ce que les ressources
nécessaires soient allouées à la mise en œuvre des mesures de sécurité
appropriées.
Ensuite, le Responsable de la Sécurité des Systèmes d'Information (RSSI)
occupe une place cruciale dans l'organigramme de la sécurité informatique. Bien
que dans certaines structures organisationnelles, le RSSI puisse être placé sous la
supervision du DSI, il est généralement recommandé qu'il exerce ses fonctions
de manière indépendante. Le rôle du RSSI consiste à élaborer et à mettre en œuvre
des politiques et des procédures de sécurité, à évaluer les risques potentiels, à
superviser les activités de détection et de réponse aux incidents, ainsi qu'à assurer
la sensibilisation et la formation du personnel en matière de sécurité.
En plus de ces rôles clés, d'autres parties prenantes peuvent être impliquées dans
la gouvernance de la sécurité de l'information, telles que les responsables des

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 40 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
départements opérationnels, les responsables de la conformité réglementaire et
les auditeurs internes ou externes. La collaboration entre ces différentes parties
est essentielle pour garantir une approche holistique et efficace de la sécurité de
l'information.

II.3. Contrôle d’accès

Les contrôles d'accès représentent un pilier fondamental de la sécurité
informatique, agissant comme des gardiens qui régulent l'accès aux systèmes
d'information. Leur rôle est crucial car ils permettent de restreindre l'accès aux
zones sensibles uniquement aux personnes autorisées, minimisant ainsi les
risques de compromission de données et d'infractions à la sécurité. Il en existe
plusieurs que l’on peut regrouper dans deux grands types :
1. Les contrôles d’accès physique
Les contrôles d'accès physiques offrent une protection tangible grâce à des
dispositifs concrets. Parmi ceux-ci, on trouve notamment :
- Les barrières physiques qui restreignent l'accès à des zones sensibles.
- Les systèmes de « mantrap » qui permettent l'accès à une seule personne à
la fois dans des zones restreintes.
- Les badges d'accès qui permettent l'identification et l'autorisation des
individus à entrer dans des locaux sécurisés.
- Et bien d'autres dispositifs encore.

2. Les contrôles d’accès technico-logique

En revanche, les contrôles d'accès technico-logiques reposent sur des éléments

logiciels et divers moyens techniques, dont :
- Les listes de contrôle d'accès (ACL) qui spécifient les autorisations d'accès
pour différents utilisateurs ou groupes.
- Les pares-feux, qui filtrent le trafic réseau pour protéger les systèmes
contre les menaces externes et internes.
- Les systèmes de détection d'intrusion (IDS) et de prévention d'intrusion
(IPS) qui surveillent et bloquent les activités suspectes sur les réseaux.
Combiner les deux types de contrôles d'accès est essentiel pour garantir une
sécurité globale, car cela permet de protéger à la fois les infrastructures physiques
et les données numériques contre les menaces.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 41 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
II.4. Analyse des risques
L'analyse des risques constitue une étape essentielle dans la gestion efficace de la
sécurité informatique au sein d'une organisation. Son objectif est de fournir les
éléments nécessaires pour identifier, évaluer et atténuer les risques potentiels qui
menacent la confidentialité, l'intégrité et la disponibilité des informations
critiques. Cette partie du cours vise à équiper les étudiants des compétences et
des connaissances requises pour mener une analyse de risque approfondie et
stratégique, garantissant ainsi une prise de décision éclairée en matière de
sécurité.

Figure 2 Cylcle de gestion des risques

1. Identification des risques

L'identification des risques est une étape cruciale dans la gestion de la sécurité
informatique d'une organisation. Elle permet de repérer et de comprendre les
menaces potentielles qui pourraient compromettre la sécurité des systèmes, des
données et des opérations. Voici quelques raisons pour lesquelles l'identification
des risques est si importante :

1. Anticipation des menaces : En identifiant les risques potentiels, une

organisation peut anticiper les menaces émergentes et les attaques potentielles
contre ses systèmes. Cela lui permet de se préparer adéquatement en mettant en
place des mesures de sécurité appropriées pour prévenir les incidents de sécurité.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 42 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2. Priorisation des actions : En comprenant les risques auxquels elle est
confrontée, une organisation peut établir des priorités en matière de sécurité et
allouer ses ressources de manière efficace pour traiter les risques les plus critiques
en premier, minimisant ainsi les impacts potentiels sur ses activités.
3. Élaboration de stratégies de gestion des risques : L'identification des risques
fournit les informations nécessaires pour élaborer des stratégies de gestion des
risques adaptées aux besoins et aux objectifs de l'organisation. Ces stratégies
peuvent inclure des mesures préventives, des plans d'intervention en cas
d'incident et des mécanismes de récupération des données en cas de sinistre.
4. Conformité aux réglementations : De nombreuses réglementations et normes
en matière de sécurité informatique exigent que les organisations identifient et
évaluent régulièrement les risques pour garantir leur conformité. L'identification
des risques est donc essentielle pour répondre à ces exigences réglementaires et
éviter les sanctions potentielles.

Maintenant, en ce qui concerne les techniques et méthodes d'identification des

risques, voici quelques-unes des approches les plus couramment utilisées :

1. Analyse documentaire : Cette méthode implique l'examen des documents

existants tels que les politiques de sécurité, les rapports d'incidents passés et les
audits de sécurité pour identifier les risques potentiels.
2. Entrevues et groupes de discussion : Les entretiens avec les parties prenantes
internes et externes de l'organisation, ainsi que les groupes de discussion,
permettent de recueillir des informations sur les risques perçus et les scénarios
potentiels d'attaques ou d'incidents.
3. Analyse de scénarios : Cette technique consiste à envisager divers scénarios
d'attaques ou de sinistres et à évaluer leur impact potentiel sur l'organisation. Cela
permet d'identifier les risques associés à chaque scénario et de prendre des
mesures préventives appropriées.
4. Analyse des données de sécurité : L'examen des journaux d'activité, des
rapports de sécurité et des alertes de sécurité permet d'identifier les tendances, les
motifs d'attaques et les vulnérabilités potentielles dans les systèmes informatiques
de l'organisation.
5. Évaluation des actifs : L'évaluation des actifs informatiques de l'organisation,
y compris les données sensibles, les systèmes critiques et les infrastructures

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 43 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
réseau, permet d'identifier les risques associés à chaque actif et de prioriser les
efforts de sécurité en conséquence.
En utilisant ces techniques et méthodes d'identification des risques de manière
holistique, une organisation peut obtenir une vue d'ensemble complète de son
paysage de sécurité et prendre des décisions éclairées pour renforcer sa posture
de sécurité globale.

2. Evaluation des risques

Une fois les risques identifiés, il est important de pouvoir évaluer l’impact de ces
risques sur le système. Cela peut se faire au travers de diverses méthodes.

- Analyse qualitative des risques

L'analyse qualitative des risques s'appuie sur l'expertise et le jugement
d'experts pour évaluer les risques. Cette approche permet de prendre en
compte des facteurs difficilement quantifiables, tels que l'impact d'une
perte de réputation ou la probabilité d'une cyberattaque sophistiquée.
- Analyse quantitative des risques
L'évaluation quantitative des risques est basée sur des calculs
numériques, tels que des valeurs monétaires.
Lorsqu'une évaluation quantitative des risques est souhaitable, le
praticien du risque peut chercher à approximer la probabilité à l'aide de
données empiriques ou historiques pour calculer une probabilité
moyenne sur l'ensemble d'une population.
- Analyse semi-quantitative
L'évaluation semi-quantitative des risques combine la valeur de
l'évaluation qualitative et quantitative des risques

3. Traitement du risque
Il existe 4 méthodes de traitement du risque :
• L’acceptation ; qui consiste à ne rien faire bien qu’étant pleinement
conscient du risque encouru ;
• L’évitement ou arrêt de l’activité, qui préconise l’extinction de la raison du
risque ;

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 44 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Le transfert ou partage. Ici l’entité, par le mécanisme contractuel, s’assure
de l’intervention d’un tiers pour l’aider le moment échéant à faire face à
l’impact ;
• La réduction ou mitigation. Elle se matérialise par le déploiement de
contre-mesure ou l’amélioration de mécanisme de contrôle déjà en place
pour agir soit sur la vulnérabilité, soit sur la menace, ou encore sur l’impact
ou une combinaison des trois.

II.5. Loi et régulation

La sécurisation des données et des systèmes informatiques est une préoccupation
majeure pour les entreprises à l'échelle mondiale. Pour garantir une protection
adéquate, les politiques internes des entreprises doivent être alignées sur les lois
et réglementations en vigueur dans les pays où elles opèrent. Ces règlements
peuvent être classés en deux grandes catégories : les lois internationales et les lois
nationales.
1. Lois internationales
- Convention de Budapest
- Convention de Malabo
2. Lois nationales
- La loi de 2010 sur la cybersécurité et la lutte contre la
cybercriminalité
- La loi de 2010 sur les communications électroniques
- La loi de 2010 sur le commerce en ligne
- La loi sur la protection des enfants en ligne

II.6. Sécurité de tierces parties

Les tierces parties, désignent toutes les entités externes à l'entreprise qui ont un
lien ou un rôle à jouer dans son fonctionnement. Ces entités peuvent être des sous-
traitants ou des prestataires de services tels que les services de nettoyage ou de
gardiennage. Bien qu'externes à l'entreprise, leur présence est souvent
indispensable au bon déroulement des activités. Cependant, cette relation
introduit des risques supplémentaires pour la sécurité de l'information. En effet,
ces tierces parties ne sont généralement pas soumises aux mêmes règles et
contrôles que les employés internes, ce qui peut créer des vulnérabilités
potentielles dans le système d'information. Ainsi, la sécurisation des relations

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 45 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
avec les tierces parties revêt une importance capitale dans la protection des
données et des systèmes d'information de l'entreprise.
1. Responsabilité de la gestion des risques liés aux tierces parties
La gestion des risques liés aux tierces parties est principalement la responsabilité
des équipes de gestion des risques au sein de l'entreprise. Cependant, cette
responsabilité ne se limite pas uniquement à ces équipes. Une fois que les mesures
de sécurité ont été définies et diffusées, il incombe également à chaque employé
ou contractant de s'engager à réduire au maximum les risques associés aux tierces
parties. Cela implique une sensibilisation continue à la sécurité informatique, la
formation sur les politiques et les procédures de sécurité, ainsi que la vigilance
dans les interactions avec les tierces parties. En outre, les employés et les
contractants doivent signaler tout incident de sécurité ou toute activité suspecte
liée aux tierces parties aux équipes de gestion des risques pour une action
immédiate. En adoptant une approche collective et collaborative, l'ensemble de
l'organisation peut contribuer à atténuer les risques et à renforcer la sécurité dans
ses relations avec les tierces parties.
2. Cadre de la gestion des risques liés aux tierces parties
Il existe divers cadres pour la gestion des risques liés aux tierces parties. Par
exemple, la norme ISO/IEC 27001:2022 propose un cadre dédié à cet aspect,
présenté dans l'annexe A.15 - Relations avec les fournisseurs. Ce cadre permet
d'intégrer la gestion des risques au sein du système de gestion de la sécurité de
l'information (SGSI). Les principes généraux qu'elle encourage à mettre en œuvre
incluent :
- Évaluation des risques associés aux tierces parties.
- Établissement de politiques de sécurité spécifiques pour les relations avec les
fournisseurs.
- Contrôle et surveillance des fournisseurs pour assurer leur conformité aux
exigences de sécurité.
- Gestion des accès et des autorisations accordées aux tierces parties.
- Mise en place de mécanismes de gestion des incidents de sécurité impliquant
des fournisseurs.
- Révision régulière des relations avec les fournisseurs pour s'assurer de leur
adéquation avec les objectifs de sécurité de l'organisation.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 46 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
De même, la norme ISO/IEC 27036-1:2021, intitulée Cybersécurité - Relations
avec les fournisseurs, offre un guide pour aider les organisations à sécuriser leurs
systèmes et leurs données dans le cadre de leurs relations avec les fournisseurs.
Elle recommande notamment :

- L'identification et l'évaluation des risques liés aux fournisseurs.

- La définition de critères de sélection des fournisseurs basés sur des critères de
sécurité.
- L'inclusion de clauses de sécurité dans les contrats avec les fournisseurs pour
garantir la protection des données et des systèmes.
- La mise en œuvre de mesures de surveillance continue pour évaluer la
performance et la conformité des fournisseurs en matière de sécurité.
- L'établissement de plans de continuité d'activité et de plans de réponse aux
incidents en collaboration avec les fournisseurs pour garantir une réponse efficace
en cas d'urgence.

En intégrant ces principes dans leur approche de gestion des risques liés aux
tierces parties, les organisations peuvent renforcer leur posture de sécurité et
réduire les risques associés à leurs relations avec les fournisseurs.
II.7. Ethique et déontologie
L'éthique et la déontologie sont des piliers fondamentaux pour tout professionnel
de la sécurité informatique, car ils guident ses actions et décisions tout en
maintenant une ligne claire entre ce qui est juste et ce qui ne l'est pas. Ces
principes découlent de l'engagement à respecter les normes éthiques établies ainsi
que les obligations professionnelles définies dans les contrats et politiques. Nous
pouvons décliner en quelques points le respect de l’éthique et de la déontologie :
- Confidentialité : Il est impératif de préserver la confidentialité des informations
obtenues auprès d'une entreprise, qu'il s'agisse de données sensibles, de stratégies
de sécurité ou de toute autre information confidentielle.

- Respect des délais : Il est essentiel de respecter les délais convenus dans le
cadre des engagements professionnels. Cela démontre le professionnalisme et le
sérieux dans l'exécution des tâches.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 47 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

- Respect du périmètre défini : Il est nécessaire de respecter scrupuleusement

les limites définies dans le cadre des projets ou des missions confiées, en évitant
tout dépassement injustifié qui pourrait compromettre la confiance et l'intégrité
professionnelle.

- Respect des coûts prévisionnels : Il est primordial de respecter les estimations

budgétaires établies, en fournissant des services de qualité conforme aux attentes
du client sans dépasser les coûts prévus.

- Juste rémunération en fonction des compétences : Il est légitime de demander

une rémunération équitable en fonction des compétences et de l'expertise
fournies. Cela reflète la valeur du travail effectué et contribue à maintenir l'équité
dans les relations professionnelles.
II.8. Type d’attaquants
En sécurité informatique, les attaquants peuvent être catégorisés en deux grands
groupes : les attaquants externes et les attaquants internes.

- Les attaquants externes peuvent inclure des pirates informatiques motivés par
diverses raisons telles que l'appât du gain financier, des motivations politiques ou
idéologiques, ou encore le désir de notoriété. Ils peuvent également être des
acteurs mandatés par des concurrents commerciaux ou des agences
gouvernementales engagées dans des opérations de cyberespionnage ou de
sabotage.

- Les attaquants internes, quant à eux, englobent une gamme d'individus allant
des employés malveillants cherchant à nuire à leur employeur pour diverses
raisons personnelles ou financières, aux employés mécontents ou cherchant à se
venger en exploitant leur accès privilégié aux systèmes et données de l'entreprise.

Il est important de reconnaître que les ressources humaines représentent une

grande menace pour la sécurité informatique, car elles peuvent souvent
contourner les mesures de sécurité technologiques en place. Par conséquent, la
sécurité doit être intégrée dans l'ensemble du processus, depuis le recrutement et

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 48 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
l'intégration des employés dans l'entreprise jusqu'à leur départ, qu'il s'agisse d'une
démission ou d'un licenciement, afin de minimiser les risques potentiels associés
aux attaquants internes.
II.9. Evaluation des acquis

- Définir : menace, vulnérabilité, impact, risque

- Lister les parties tierces de l’ENSPY et établissez des scénarios de

risques liés à ceux-ci et des moyens de mitigation

- Lister les contrôles d’accès à implémenter dans un centre de

recherche militaire

II.10. TP

Présentation en groupe de 3 sur les différentes lois suscitées

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 49 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE III
SECURITE DES ACTIFS

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 50 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

III. Sécurité des Actifs

III.1. Introduction
Les actifs constituent le pilier fondamental de toute entreprise, qu'ils prennent la
forme d'équipements informatiques de routine tels que claviers, souris et écrans,
d'infrastructures critiques comme les serveurs, ou encore de données cruciales
telles que les informations clients. La sécurité de ces actifs revêt une importance
capitale, car ils représentent le socle sur lequel repose l'activité opérationnelle et
stratégique d'une entreprise. En effet, toute compromission de ces actifs, qu'elle
soit due à des cyberattaques, à des erreurs humaines ou à des défaillances
techniques, peut avoir des conséquences désastreuses, allant de pertes financières
importantes à une détérioration de la réputation de l'entreprise, voire à sa
disparition. Ainsi, la protection des actifs informatiques constitue un enjeu majeur
de la sécurité informatique, nécessitant une approche proactive et stratégique pour
identifier, évaluer et atténuer les risques potentiels.
III.2. Classification des données
Dans le paysage complexe de la gestion des données, il est crucial de reconnaître
que toutes les données ne sont pas créées égales. Alors que certaines peuvent être
partagées librement avec le grand public sans compromettre les opérations d'une
organisation, d'autres renferment des informations sensibles dont l'accès non
autorisé peut entraîner des conséquences graves. Ainsi, la classification des
données en fonction de leur niveau de sensibilité devient impérative pour une
gestion efficace de l'accessibilité. Cette classification permet non seulement de
définir qui peut accéder à quelles données, mais également de guider la mise en
place de mesures de sécurité appropriées. Dans cette section, nous explorerons
les différentes catégories de données, telles que les données publiques,
confidentielles et sensibles, ainsi que les méthodes et les outils utilisés pour les
classifier.
Niveaux de sensibilité des données

Les données peuvent être classées selon différents niveaux de sensibilité, chacun
dictant les mesures de protection appropriées :
- Publique : Ce niveau inclut des informations telles que le nom de l'entreprise,
sa localisation, sa raison sociale et son chiffre d'affaires. Ces données sont
destinées à être largement accessibles, même aux employés externes à
l'organisation, sans impacter le fonctionnement de l'entreprise.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 51 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
- Confidentielle : Les données confidentielles doivent rester internes à
l'entreprise. En fonction de leur criticité et de la hiérarchie organisationnelle, ces
données peuvent être classées en interne avec des niveaux d'accessibilité définis
par des politiques spécifiques. Par exemple, dans le domaine médical, le dossier
d'un patient est confidentiel pour tous les autres médecins, mais il n'est accessible
qu'au médecin traitant du patient.
- Critique : Ce niveau englobe les données dont la divulgation entraînerait un
préjudice immédiat et significatif pour le fonctionnement de l'organisation.

Méthodes de classification des données

Une fois qu'une donnée est générée, il est impératif de la classer en fonction de
son niveau de criticité. Cette classification est une étape essentielle qui doit être
réalisée avec précision et rigueur. Plusieurs méthodes peuvent être utilisées pour
classer les données de manière efficace :
- L'étiquetage : Cette méthode consiste à attribuer une étiquette portant la classe
appropriée à chaque dossier ou fichier. Cette étiquette peut également être
appliquée de manière numérique, par exemple en utilisant des métadonnées pour
marquer les e-mails et autres éléments numériques.
- Le marquage : Le marquage des données se fait souvent à l'aide de tampons ou
d'autres moyens visuels, comme l'ajout du terme "confidentiel" sur un dossier
pour indiquer sa classe.
Il est essentiel que les étapes de classification des données soient clairement
définies et consignées dans des politiques et des procédures spécifiques. Ces
directives fournissent un cadre pour garantir que la classification est effectuée de
manière cohérente et conforme aux exigences de sécurité de l'organisation.

III.3. Protection des données

La protection des données est une préoccupation majeure car les menaces
potentielles provenir de sources internes ou externes. Garantir que les données
sensibles ne soient pas accessibles de manière non autorisée, qu'il s'agisse d'une
intrusion délibérée ou accidentelle, est une priorité absolue pour toute
organisation. Pour ce faire, une variété de techniques et de mesures de sécurité
sont mises en œuvre, allant des modèles de contrôle d'accès aux solutions
technologiques avancées.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 52 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

1. Modèles de contrôles d’accès

Les modèles de contrôles d’accès permettent de réguler l’accès aux données,
parmi les plus utilisés, nous avons :
- Le modèle de contrôle d'accès basé sur les rôles (RBAC) attribue
des autorisations aux utilisateurs en fonction de leur rôle au sein de
l'organisation. Par exemple, dans un système de gestion de contenu,
un administrateur peut avoir des autorisations pour créer, modifier
et supprimer des documents, tandis qu'un rédacteur peut avoir
uniquement la permission de créer et de modifier des documents.
Cette approche simplifie la gestion des autorisations en regroupant
les utilisateurs selon des rôles prédéfinis.

- Le modèle de contrôle d'accès basé sur les attributs (ABAC) utilise

les attributs des utilisateurs, des ressources et de l'environnement
pour prendre des décisions d'accès. Par exemple, dans un système de
gestion de fichiers basé sur ABAC, l'accès à un fichier peut être
déterminé en fonction de l'heure de la journée, de la localisation de
l'utilisateur et du niveau de sécurité du fichier.

- Le contrôle d'accès discrétionnaire (DAC) permet aux propriétaires

de ressources de définir les autorisations d'accès pour ces ressources.
Par exemple, dans un système de fichiers DAC, chaque fichier est
associé à un propriétaire qui peut ensuite accorder des autorisations
spécifiques à d'autres utilisateurs. Cela donne aux propriétaires un
contrôle total sur l'accès à leurs ressources, mais peut aussi entraîner
des problèmes de gestion des autorisations à grande échelle.

- Enfin, le contrôle d'accès obligatoire (MAC) impose des règles

strictes basées sur des niveaux de sécurité prédéfinis. Par exemple,
dans un environnement militaire, les informations classifiées
peuvent être accessibles uniquement par des utilisateurs ayant le
niveau de sécurité approprié. Cela garantit un contrôle strict sur
l'accès aux informations sensibles, mais peut être difficile à mettre
en œuvre et à gérer dans des environnements complexes.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 53 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2. Mesures technico-logiques
Dans cette catégorie nous avons les pares-feux, les antivirus, les algorithmes de
chiffrement etc …
III.4. Appartenance

1. Définition et importance
L'appartenance des données fait référence à la propriété et à la responsabilité des
données au sein d'une organisation. Il est crucial de déterminer l'appartenance des
données pour assurer une gestion et une protection adéquates des actifs
informationnels. L'identification de l'appartenance permet de :

• Définir les rôles et les responsabilités en matière de gestion des données

• Établir des droits d'accès appropriés
• Faciliter la traçabilité des données
• Assurer la conformité réglementaire

2. Méthodes pour déterminer l'appartenance

Pour déterminer l'appartenance des données, plusieurs méthodes peuvent être
utilisées :

• Identification du propriétaire des données : il s'agit de la personne ou de

l'entité responsable de la création, de la gestion et de la protection des
données.
• Identification du responsable de la sécurité des données : il s'agit de la
personne ou de l'entité chargée de mettre en œuvre et de superviser les
mesures de sécurité pour protéger les données.
• Analyse des flux de données : cette méthode consiste à suivre le parcours
des données au sein de l'organisation pour identifier les personnes ou les
entités qui interagissent avec les données.
• Utilisation des métadonnées : les métadonnées peuvent fournir des
informations sur l'appartenance des données, telles que l'auteur, la date de
création, le département responsable, etc.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 54 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
3. Gestion des droits d'accès en fonction de l'appartenance
Une fois l'appartenance des données déterminée, il est important de mettre en
place des droits d'accès appropriés pour garantir la confidentialité, l'intégrité et la
disponibilité des données. Les droits d'accès doivent être définis en fonction des
rôles et des responsabilités de chaque utilisateur, en veillant à appliquer le
principe du moindre privilège.

• Autorisation d'accès : définir les utilisateurs ou les groupes d'utilisateurs

autorisés à accéder aux données en fonction de leur rôle et de leurs
responsabilités.
• Contrôle d'accès : mettre en place des mécanismes de contrôle d'accès
(authentification, autorisation, audit) pour garantir que seuls les utilisateurs
autorisés puissent accéder aux données.
• Surveillance et audit : surveiller et auditer régulièrement les accès aux
données pour détecter d'éventuelles violations de sécurité ou abus d'accès.

4. Bonnes pratiques pour la gestion de l'appartenance

Pour assurer une gestion efficace de l'appartenance des données, plusieurs bonnes
pratiques peuvent être mises en œuvre :

• Sensibiliser les employés à l'importance de l'appartenance des données et

à leurs responsabilités en matière de gestion et de protection des données.
• Mettre en place des politiques et des procédures claires pour la gestion de
l'appartenance des données, notamment en ce qui concerne la définition
des rôles et des responsabilités, la classification des données et la gestion
des droits d'accès.
• Réaliser régulièrement des audits de sécurité pour vérifier l'efficacité des
mesures de gestion de l'appartenance et identifier les éventuelles faiblesses
ou lacunes.
• Assurer une communication et une collaboration étroites entre les
différentes entités et départements de l'organisation pour garantir une
gestion cohérente et coordonnée de l'appartenance des données.

III.5. Mémoire, rémanence et destruction

1. Définition et enjeux
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 55 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
La mémoire, la rémanence et la destruction des données sont des aspects cruciaux
de la sécurité des actifs informatiques. Ces concepts sont étroitement liés et visent
à garantir la confidentialité et l'intégrité des données tout au long de leur cycle de
vie.
• Mémoire : il s'agit des dispositifs de stockage utilisés pour conserver les
données, tels que les disques durs, les clés USB, les bandes magnétiques,
etc.
• Rémanence : la rémanence désigne la persistance des données dans la
mémoire, même après leur suppression apparente. Ce phénomène peut
entraîner des fuites d'informations sensibles et compromettre la sécurité
des données.
• Destruction : la destruction des données consiste à les éliminer de manière
irréversible et sécurisée pour éviter toute récupération non autorisée.

2. Bonnes pratiques en matière de stockage

Pour garantir une protection optimale des données et des actifs informatiques, il
est essentiel de mettre en place des bonnes pratiques de gestion de la mémoire.
Ces pratiques visent à assurer la confidentialité, l'intégrité et la disponibilité des
données tout au long de leur cycle de vie.

- Chiffrement des données : Le chiffrement des données consiste à

transformer les informations en un format illisible pour les
personnes non autorisées. Cette méthode permet de protéger les
données stockées sur les supports de mémoire et de prévenir les
fuites d'informations en cas de vol ou de perte du support.

- Sauvegarde et restauration des données : La sauvegarde et la

restauration des données sont des éléments clés de la gestion de la
mémoire, permettant de garantir la disponibilité et l'intégrité des
données en cas d'incident ou de panne.

- Gestion du cycle de vie des supports de mémoire : Une gestion

rigoureuse du cycle de vie des supports de mémoire permet de
prévenir les risques liés à la rémanence des données et de garantir la
sécurité des actifs informatiques.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 56 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

3. Risques associés à la rémanence

La rémanence des données peut entraîner plusieurs risques pour la sécurité des
actifs informatiques :
• Vol ou perte de données : les données résiduelles présentes dans la mémoire
peuvent être récupérées par des personnes malveillantes en cas de vol ou
de perte du support de stockage.
• Réutilisation inappropriée des supports de stockage : la réutilisation de
supports de stockage sans effacement sécurisé des données peut entraîner
la divulgation d'informations sensibles.
• Non-conformité réglementaire : la conservation de données sensibles ou
personnelles au-delà de la période autorisée peut entraîner des sanctions
réglementaires et nuire à la réputation de l'organisation.

4. Méthodes d'effacement sécurisé

Pour éviter les risques liés à la rémanence, il est essentiel de mettre en œuvre des
méthodes d'effacement sécurisé des données. Plusieurs techniques peuvent être
utilisées :
• Écrasement des données : cette méthode consiste à remplacer les données
existantes par des données sans signification, en écrivant plusieurs fois sur
l'ensemble du support de stockage.
• Dégaussement : le dégaussage est une technique qui utilise un champ
magnétique puissant pour effacer les données enregistrées sur les supports
magnétiques, tels que les bandes et les disquettes.
• Broyage : le broyage physique des supports de stockage permet de les
rendre inutilisables et d'empêcher toute récupération des données qu'ils
contiennent.

III.6. Standards et référentiels de contrôle

Les standards et référentiels de contrôle sont des cadres de référence qui
définissent les bonnes pratiques et les exigences en matière de sécurité des actifs
informatiques. Ils aident les organisations à mettre en place des mesures de
sécurité adaptées et à évaluer leur niveau de conformité et de maturité en la
matière.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 57 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
1. ISO/IEC 27001 : Système de management de la sécurité de
l'information (SMSI)
La norme ISO/IEC 27001 est une norme internationale qui définit les exigences
pour la mise en place, la mise en œuvre, la maintenance et l'amélioration continue
d'un Système de Management de la Sécurité de l'Information (SMSI). Elle couvre
un large éventail de domaines liés à la sécurité des actifs informatiques, tels que
la politique de sécurité, la gestion des ressources humaines, la gestion des accès,
la sécurité physique et environnementale, et la gestion des incidents.

2. NIST SP 800-53 : Contrôles de sécurité pour les systèmes d'information

fédéraux
Le NIST SP 800-53 est un guide publié par le National Institute of Standards and
Technology (NIST), qui définit un ensemble de contrôles de sécurité pour les
systèmes d'information fédéraux. Il fournit une approche structurée pour la
sélection et la mise en œuvre de mesures de sécurité adaptées aux besoins et aux
risques spécifiques de chaque organisation. Le NIST SP 800-53 est largement
reconnu et utilisé comme référentiel de contrôle dans de nombreux secteurs, au-
delà des organisations fédérales.

3. COBIT : Cadre de référence pour la gouvernance et la gestion des TI

COBIT (Control Objectives for Information and Related Technology) est un
cadre de référence développé par l'ISACA (Information Systems Audit and
Control Association). Il fournit un ensemble de bonnes pratiques et d'objectifs de
contrôle pour la gouvernance et la gestion des technologies de l'information, y
compris la sécurité des actifs informatiques. COBIT aide les organisations à
aligner leurs processus TI sur leurs objectifs métier et à évaluer leur niveau de
maturité en matière de gouvernance et de gestion des TI.

4. CIS Critical Security Controls : Contrôles de sécurité essentiels

Les CIS Critical Security Controls (CSC) sont un ensemble de 20 contrôles de
sécurité considérés comme essentiels pour la protection des actifs informatiques
contre les menaces les plus courantes et les plus dangereuses. Développés par le
Center for Internet Security (CIS), ces contrôles fournissent une base solide pour
la mise en place d'un programme de sécurité efficace et adapté aux besoins de
chaque organisation.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 58 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
5. PCI DSS : Norme de sécurité des données pour l'industrie des cartes de
paiement
La norme PCI DSS (Payment Card Industry Data Security Standard) est un
ensemble d'exigences de sécurité pour les organisations qui traitent, stockent ou
transmettent des données de cartes de paiement. Elle vise à protéger les données
des titulaires de cartes contre les violations et les fraudes. Les exigences de la
norme PCI DSS couvrent six domaines principaux : la sécurité du réseau, la
protection des données, la gestion des vulnérabilités, le contrôle d'accès, la
surveillance et les tests réguliers, et la politique de sécurité de l'information.
III.7. Evaluation des acquis
1. Qu'est-ce que la sécurité des actifs informatiques ?
a) La protection des données personnelles
b) La protection des ressources informatiques contre les menaces et les
vulnérabilités
c) La gestion des mots de passe

2. Quel est le principal objectif de la classification des données ?

a) Faciliter le partage des données
b) Identifier la sensibilité et la valeur des données
c) Chiffrer toutes les données

3. Qu'est-ce que la rémanence des données ?

a) La persistance des données dans la mémoire après leur suppression
b) La sauvegarde des données sur un support externe
c) Le transfert des données d'un support à un autre

4. Quelle méthode de destruction des données consiste à utiliser un champ

magnétique puissant ?
a) Le broyage
b) Le dégaussage

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 59 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
c) L'écrasement

5. Qu'est-ce que le principe du moindre privilège ?

a) Accorder tous les droits d'accès aux utilisateurs
b) Accorder uniquement les droits d'accès nécessaires à l'exercice des fonctions
d'un utilisateur
c) Interdire tous les accès par défaut

6. Quel standard définit les exigences pour un Système de Management de la

Sécurité de l'Information (SMSI) ?
a) ISO/IEC 27001
b) NIST SP 800-53
c) COBIT

7. Quel référentiel de contrôle fournit un ensemble de 20 contrôles de sécurité

essentiels ?
a) CIS Critical Security Controls (CSC)
b) PCI DSS
c) ISO/IEC 27002

8. Qu'est-ce que la norme PCI DSS ?

a) Une norme de sécurité pour les organisations traitant des données de cartes de
paiement
b) Un cadre de référence pour la gouvernance et la gestion des TI
c) Un guide de contrôles de sécurité pour les systèmes d'information fédéraux

9. Quelle méthode de chiffrement est recommandée pour protéger les données

sensibles ?
a) Chiffrement symétrique avec une clé de 40 bits

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 60 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) Chiffrement asymétrique avec une clé de 2048 bits
c) Chiffrement symétrique avec une clé de 256 bits

10. Quel est l'un des objectifs principaux de la gestion des correctifs ?
a) Mettre à jour les logiciels pour améliorer leurs fonctionnalités
b) Corriger les vulnérabilités découvertes dans les logiciels
c) Modifier la configuration des logiciels pour améliorer leur performance

11. Quel est le rôle d'un pare-feu dans la sécurité des actifs informatiques ?
a) Filtrer le trafic réseau entrant et sortant en fonction de règles prédéfinies
b) Chiffrer les communications entre deux parties
c) Détecter et bloquer les logiciels malveillants

12. Qu'est-ce que la journalisation des événements de sécurité ?

a) La collecte et l'enregistrement des activités liées à la sécurité dans un système
informatique
b) La configuration des paramètres de sécurité d'un système
c) La surveillance en temps réel du trafic réseau
III.8. TP
Description de l'entreprise :
"To the Moon" est une agence de marketing digital spécialisée dans l'amélioration
de la présence en ligne de ses clients. Les services proposés incluent la création
de sites web, la gestion des réseaux sociaux, le référencement naturel (SEO), les
campagnes publicitaires en ligne et l'analyse de données. L'agence compte 30
employés répartis en différents départements : développement web, création de
contenu, gestion de projets, analyse de données et administration.

Travail demandé :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 61 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
1. Identification et classification des actifs et des types de données :
a. Identifier les actifs informatiques de l'agence "To the Moon" (matériels,
logiciels, données, etc.)
b. Classifier les actifs en fonction de leur criticité et de leur sensibilité
c. Identifier les différents types de données manipulées par l'agence et les
classifier en fonction de leur niveau de confidentialité
2. Attribution des accès selon les modèles de contrôle d'accès :
a. Pour chaque département de l'agence, définir les rôles et les responsabilités des
employés (RBAC)
b. Proposer une politique d'attribution des accès basée sur les attributs des
utilisateurs et des ressources (ABAC)
c. Décrire comment les employés peuvent partager des ressources entre eux en
fonction de leurs droits d'accès (DAC)
d. Définir une politique de contrôle d'accès obligatoire pour protéger les données
sensibles et garantir le respect des réglementations (MAC)
Livrables :

- Un tableau récapitulatif des actifs informatiques identifiés et

classifiés

- Un tableau récapitulatif des types de données identifiés et classifiés

- Une description détaillée des rôles et des responsabilités des

employés pour chaque département (RBAC)

- Une politique d'attribution des accès basée sur les attributs des
utilisateurs et des ressources (ABAC)

- Une description du processus de partage des ressources entre les

employés (DAC)

- Une politique de contrôle d'accès obligatoire (MAC)

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 62 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE IV
INGENIERIE ET ARCHITECTURE
DE SECURITE

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 63 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

IV. Ingénierie et architecture de sécurité

1. INTRODUCTION
L'ingénierie et l'architecture de sécurité sont des éléments clés pour garantir la
sécurité du système d'information (SI) d'une organisation. L'architecture de
sécurité représente la manière dont les différents composants de sécurité sont
conçus, mis en œuvre et intégrés entre eux pour garantir un niveau de sécurité
optimal. Elle permet de définir les mécanismes de sécurité nécessaires pour
protéger les actifs de l'organisation contre les menaces et les vulnérabilités.
Ce module sera couronné par un TP qui permettra aux étudiants de mettre en
pratique les connaissances acquises en concevant et en implémentant une
architecture de sécurité pour un scénario donné. Cette expérience pratique aidera
les étudiants à comprendre les défis liés à la mise en œuvre d'une architecture de
sécurité efficace et à développer les compétences nécessaires pour relever ces
défis.

2. Modèle de sécurité
Un modèle de sécurité en informatique est une représentation abstraite des
éléments du monde réel et des interactions entre eux, appliquée à la sécurité
informatique. L'objectif d'un modèle de sécurité est de garantir un état de sécurité
défini par une politique de sécurité.
Dans un modèle de sécurité, il est important de connaître trois éléments clés :
• Les sujets : ce sont les entités qui effectuent les actions sur les objets. Les
sujets peuvent être des utilisateurs, des processus ou des programmes.
• Les objets : ce sont les entités qui subissent les actions des sujets. Les objets
peuvent être des fichiers, des dossiers, des périphériques ou des ressources
réseau.
• Les niveaux de classification : les sujets et les objets ont des niveaux de
classification qui déterminent leur niveau de sensibilité et les règles d'accès
qui leur sont associées.
Les modèles de sécurité sont utilisés pour définir les règles d'accès et de contrôle
d'accès aux ressources d'un système informatique. Les plus connus sont : Bell-
Lapadula, Biba, chinese wall

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 64 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Modèle de Bell-Lapadula
Voici une version améliorée du texte sur le modèle Bell-Lapadula :

Le modèle Bell-Lapadula est un modèle de sécurité informatique qui se concentre

sur la confidentialité. Il a été initialement développé pour le département de la
défense du gouvernement américain et est largement utilisé dans les milieux
militaires et gouvernementaux.

Le modèle Bell-Lapadula est décrit par deux propriétés principales :

• La propriété de sécurité simple : elle stipule qu'un sujet d'un certain niveau
de sécurité ne peut pas lire un objet d'un niveau de sécurité plus élevé. Par
exemple, un utilisateur classé "secret" ne peut pas accéder à des
informations classées "top secret".

• La propriété étoile (*) : elle stipule qu'un sujet d'un certain niveau de
sécurité ne peut pas écrire dans un objet d'un niveau de sécurité inférieur.
Par exemple, un utilisateur classé "secret" ne peut pas écrire dans un
fichier classé "public".

Ces deux propriétés sont souvent regroupées sous le terme "WRITE UP, READ
DOWN", ce qui signifie qu'un sujet peut écrire dans un objet d'un niveau de
sécurité supérieur, mais ne peut lire que des objets d'un niveau de sécurité
inférieur ou égal.

En d'autres termes, un sujet peut accéder à des informations d'un niveau de

sécurité inférieur ou égal au sien, mais ne peut pas créer d'objets avec un niveau
de sécurité inférieur. Par exemple, un chercheur de l'armée classé "secret" peut
lire des fichiers classés "public" ou "secret", mais ne peut pas créer un fichier et
le classer "public".

Le modèle Bell-Lapadula est donc conçu pour prévenir les fuites d'informations
sensibles vers des niveaux de sécurité inférieurs, en limitant l'accès en lecture et
en écriture en fonction du niveau de sécurité des sujets et des objets.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 65 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) Modèle de Biba

Le modèle de Biba est un modèle de sécurité informatique qui se concentre sur

l'intégrité des données. Il est souvent considéré comme l'inverse du modèle de
Bell-Lapadula, car il utilise des règles d'accès opposées pour garantir l'intégrité
des données plutôt que leur confidentialité.

Le modèle de Biba repose sur deux propriétés principales :

• La propriété de sécurité simple : elle stipule qu'un sujet à un niveau donné

ne peut pas lire un objet à un niveau inférieur. Par exemple, un utilisateur
classé "top secret" ne peut pas accéder à des informations classées "secret".

• La propriété étoile (*) : elle stipule qu'un sujet à un niveau donné ne peut
pas écrire dans un objet à un niveau supérieur. Par exemple, un utilisateur
classé "secret" ne peut pas écrire dans un fichier classé "top secret". Cette
propriété garantit que les données ne peuvent pas être corrompues par des
utilisateurs ayant un niveau de sécurité inférieur.

En d'autres termes, un sujet ne peut écrire que dans des objets ayant un niveau de
sécurité inférieur ou égal au sien, et ne peut lire que des objets ayant un niveau
de sécurité supérieur ou égal. Cette approche garantit que les données ne peuvent
pas être altérées de manière inappropriée, intentionnelle ou non.
c) Chinese wall

Le Chinese Wall Model est un modèle de sécurité informatique qui a été

développé pour prévenir les conflits d'intérêts dans les environnements où les
utilisateurs ont accès à des informations sensibles. Le modèle tire son nom du
mur de Chine, qui a été construit pour empêcher les invasions étrangères.

Dans le Chinese Wall Model, les données sont organisées en blocs, chacun
représentant un ensemble d'informations sensibles. Les utilisateurs sont autorisés
à accéder à des blocs spécifiques en fonction de leur rôle ou de leur fonction au
sein de l'organisation. Cependant, le modèle impose des restrictions sur l'accès
aux blocs pour éviter les conflits d'intérêts.
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 66 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Le modèle utilise une structure de données appelée "mur" pour séparer les blocs
d'informations sensibles. Les utilisateurs peuvent accéder à des blocs situés d'un
côté du mur, mais ne peuvent pas accéder à des blocs situés de l'autre côté du mur
s'ils ont déjà accédé à des blocs qui sont en conflit d'intérêts avec eux.

Par exemple, dans une banque d'investissement, les analystes financiers peuvent
avoir accès à des informations sur les entreprises qu'ils suivent. Cependant, ces
analystes ne devraient pas avoir accès à des informations sur les entreprises
concurrentes ou sur les entreprises pour lesquelles la banque fournit des services
bancaires d'investissement. Dans ce cas, le Chinese Wall Model peut être utilisé
pour empêcher les analystes d'accéder à des informations qui pourraient créer des
conflits d'intérêts.

3. Fondamentaux de la conception d’architecture de sécurité

Les fondamentaux d'une architecture de sécurité sont essentiels pour assurer la
protection des actifs d'une organisation. Une architecture de sécurité bien conçue
permet de réduire les risques de sécurité, de garantir la conformité réglementaire
et de fournir une base solide pour la gestion de la sécurité. Dans cette section,
nous allons examiner les principes de base de la conception d'une architecture de
sécurité et les étapes de la conception d'une architecture de sécurité.
a) Les principes de base de la conception d'une architecture de
sécurité

• Défense en profondeur : La défense en profondeur est une approche de

sécurité qui consiste à mettre en place plusieurs couches de sécurité pour
protéger les actifs d'une organisation. Cette approche permet de réduire les
risques de sécurité en empêchant les attaquants d'accéder aux actifs
sensibles en cas de violation d'une couche de sécurité.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 67 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Figure 3 Défense en profondeur

• Least privilege : Le principe de moindre privilège consiste à accorder aux

utilisateurs et aux systèmes le minimum de privilèges nécessaires pour
accomplir leurs tâches. Cette approche permet de réduire les risques de
sécurité en limitant l'exposition des actifs aux menaces.

• Segmentation : La segmentation consiste à diviser le réseau en segments

plus petits pour réduire l'exposition des actifs aux menaces. Cette approche
permet de limiter la portée des attaques en cas de violation de sécurité.

Figure 4 Segmentation réseau

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 68 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

• Sécurité par défaut : La sécurité par défaut consiste à configurer les

systèmes et les applications de manière à ce qu'ils soient sécurisés dès leur
installation. Cette approche permet de réduire les risques de sécurité en
empêchant les attaquants d'exploiter les vulnérabilités connues.

b) Les étapes de la conception d'une architecture de sécurité

• Évaluation des risques : La première étape de la conception d'une

architecture de sécurité consiste à évaluer les risques de sécurité auxquels
l'organisation est confrontée. Cette évaluation permet de déterminer les
actifs à protéger, les menaces potentielles et les vulnérabilités à prendre en
compte dans la conception de l'architecture de sécurité.

• Définition de la politique de sécurité : La deuxième étape consiste à

définir la politique de sécurité de l'organisation. Cette politique définit les
règles et les procédures de sécurité que les utilisateurs et les systèmes
doivent suivre pour assurer la protection des actifs de l'organisation.

• Conception de l'architecture de sécurité : La troisième étape consiste à

concevoir l'architecture de sécurité en fonction des risques identifiés et de
la politique de sécurité définie. Cette étape implique la sélection des
technologies et des contrôles de sécurité appropriés pour protéger les actifs
de l'organisation.

• Mise en œuvre de l'architecture de sécurité : La quatrième étape consiste

à mettre en œuvre l'architecture de sécurité en installant et en configurant
les technologies et les contrôles de sécurité sélectionnés.

• Test et évaluation de l'architecture de sécurité : La cinquième étape

consiste à tester et à évaluer l'architecture de sécurité pour s'assurer qu'elle
fonctionne correctement et qu'elle répond aux exigences de sécurité de
l'organisation. Cette étape implique des tests de pénétration, des
évaluations de vulnérabilité et des audits de sécurité.

• Surveillance et maintenance de l'architecture de sécurité : La dernière

étape consiste à surveiller et à maintenir l'architecture de sécurité pour
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 69 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
assurer sa pérennité et son efficacité. Cette étape implique la surveillance
continue des journaux de sécurité, la mise à jour régulière des contrôles de
sécurité et la réponse aux incidents de sécurité.

4. Architecture matérielle sécurisée

Les composants matériels d'un système informatique sont essentiels pour assurer
le bon fonctionnement du système. Cependant, ces composants peuvent être
vulnérables aux attaques et aux menaces, ce qui peut compromettre la sécurité du
système dans son ensemble.

a) Les vulnérabilités et les menaces liées au matériel

Les vulnérabilités matérielles peuvent provenir de défauts de conception ou de
fabrication, de configurations incorrectes ou de failles de sécurité dans le
micrologiciel. Les menaces matérielles peuvent inclure le vol, la perte, le
sabotage, l'espionnage industriel, etc. Les attaquants peuvent également exploiter
les vulnérabilités matérielles pour accéder aux données sensibles stockées sur le
système.

b) Les mesures de sécurité pour protéger le matériel

• Module de plateforme sécurisée (TPM) : Le TPM est un composant

matériel qui fournit des fonctionnalités de sécurité telles que le stockage
sécurisé des clés de chiffrement, la vérification de l'intégrité du système et
la protection contre les attaques par rejeu.

• Contrôle d'accès physique : Les systèmes informatiques doivent être

stockés dans des zones sécurisées avec un accès physique limité pour
prévenir le vol, le sabotage ou l'espionnage industriel.

• Surveillance de l'intégrité : Les systèmes informatiques doivent être

surveillés pour détecter toute modification non autorisée du matériel ou du
micrologiciel. Des outils tels que les systèmes de détection d'intrusion et
les journaux d'événements peuvent être utilisés pour surveiller l'intégrité
du système.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 70 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Mise à jour du micrologiciel : Les fabricants publient régulièrement des
mises à jour du micrologiciel pour corriger les vulnérabilités et les failles
de sécurité. Il est important d'installer ces mises à jour dès qu'elles sont
disponibles pour protéger le matériel.

5. Systèmes d’exploitation et Architecture logiciel

Les systèmes d'exploitation et l'architecture logicielle sont des composants clés
de tout système informatique. Ils fournissent l'interface entre l'utilisateur et le
matériel informatique, et permettent aux applications logicielles de fonctionner
de manière efficace et sécurisée. Dans cette section, nous allons examiner les
principes de base des systèmes d'exploitation et de l'architecture logicielle, ainsi
que les vulnérabilités et les menaces liées à ces composants.
a) Principe de bases d’un système d’exploitation

Les systèmes d'exploitation sont des programmes informatiques qui gèrent les
ressources matérielles et logicielles d'un ordinateur. Ils fournissent une interface
entre l'utilisateur et le matériel informatique, et permettent aux applications
logicielles de fonctionner de manière efficace et sécurisée. Les principes de base
des systèmes d'exploitation comprennent :
• La gestion des processus : Les systèmes d'exploitation gèrent les processus
en cours d'exécution sur l'ordinateur, en allouant les ressources nécessaires
et en veillant à ce que les processus ne perturbent pas le fonctionnement
des autres applications.

• La gestion de la mémoire : Les systèmes d'exploitation gèrent la mémoire

de l'ordinateur, en allouant de la mémoire aux processus en cours
d'exécution et en veillant à ce que les programmes n'accèdent pas à des
zones mémoire non autorisées.

• La gestion des entrées/sorties : Les systèmes d'exploitation gèrent les

entrées/sorties entre l'ordinateur et les périphériques connectés, tels que les
claviers, les souris et les imprimantes.

• La gestion des fichiers : Les systèmes d'exploitation gèrent les fichiers

stockés sur l'ordinateur, en fournissant une interface pour la création, la
modification et la suppression de fichiers.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 71 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

b) Vulnérabilités et menaces liés aux systèmes d’exploitation

Plusieurs vulnérabilités présentent sur les SE peuvent être exploitées par les
attaquants. Parmi les plus connues, nous avons :

• Erreurs de programmation : Toute erreur présente dans le code d'un

programme peut permettre à un virus informatique d'accéder à l'appareil et
d'en prendre le contrôle.

• Dépassement de tampon : Un attaquant envoie une quantité excessive de

données à une application, ce qui peut causer un débordement de mémoire
et lui permettre d'exécuter du code malveillant.

• Droits d'accès inappropriés : Des utilisateurs ou des groupes peuvent

avoir des droits d'accès plus importants que nécessaires, ce qui peut
permettre à un attaquant de s'infiltrer dans le système.

• Services non utilisés : Des services non utilisés peuvent être exploités par
des attaquants pour accéder au système.

• Mises à jour non installées : Les mises à jour de sécurité corrigent souvent
des vulnérabilités connues. Ne pas les installer laisse le système vulnérable.

• Privilèges excessifs : Les utilisateurs ou les groupes peuvent avoir des

droits d'accès plus importants que nécessaires, ce qui peut permettre à un
attaquant de s'infiltrer dans le système.

c) Principes de bases de l’architecture logiciel

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 72 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Modularité : L'architecture logicielle doit être modulaire, ce qui signifie
qu'elle doit être divisée en composants fonctionnels distincts qui peuvent
être facilement remplacés ou mis à jour.

• Abstraction : L'architecture logicielle doit fournir une abstraction entre les

différents composants, de sorte que chaque composant ne soit responsable
que de sa propre fonctionnalité.

• Séparation des préoccupations : L'architecture logicielle doit séparer les

préoccupations fonctionnelles et non fonctionnelles, telles que la sécurité,
la performance et la fiabilité.

• Évolutivité : L'architecture logicielle doit être conçue pour être évolutive,

ce qui signifie qu'elle doit être capable de gérer une charge de travail
croissante.

6. Virtualisation
La virtualisation repose sur l'utilisation d'un logiciel appelé hyperviseur, qui
permet de créer et de gérer des machines virtuelles (VM). Chaque VM est un
environnement informatique virtuel isolé, qui peut exécuter son propre système
d'exploitation et ses propres applications. L'hyperviseur alloue les ressources
matérielles de l'ordinateur physique aux différentes VM en fonction de leurs
besoins.
La virtualisation présente des avantages en termes de flexibilité et d'efficacité,
mais elle introduit également de nouvelles vulnérabilités et menaces de sécurité.
Les principales menaces liées à la virtualisation sont :

• Les attaques contre l'hyperviseur : si l'hyperviseur est compromis, toutes

les VM qu'il gère peuvent être compromises à leur tour.

• Les attaques entre VM : si une VM est compromise, elle peut

potentiellement attaquer d'autres VM qui s'exécutent sur le même hôte
physique.

• Les fuites de données entre VM : si les données sensibles d'une VM sont

stockées dans la mémoire vive de l'hôte physique, elles peuvent

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 73 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
potentiellement être accessibles à d'autres VM qui s'exécutent sur le même
hôte.
Pour protéger les environnements virtualisés, il est important de mettre en place
des mesures de sécurité adaptées. Les principales mesures de sécurité sont :
• La sécurisation de l'hyperviseur : il est essentiel de protéger l'hyperviseur
contre les attaques en utilisant des mots de passe forts, en limitant les
privilèges d'accès, en appliquant les mises à jour de sécurité et en
surveillant les activités suspectes.

• L'isolation des machines virtuelles : chaque VM doit être isolée des autres
VM en utilisant des réseaux virtuels séparés, des groupes de sécurité et des
règles de pare-feu.

7. Introduction à la Cryptographie
La cryptographie est une technique utilisée pour protéger des informations en les
rendant illisibles pour toute personne non autorisée. Elle repose sur l'utilisation
d'algorithmes mathématiques complexes pour transformer les données en un
format incompréhensible. Seuls les destinataires autorisés peuvent accéder aux
données originales en utilisant une clé de déchiffrement.
Le rôle principal de la cryptographie est de garantir la confidentialité. Elle permet
également de protéger les communications contre les interceptions et les
modifications non autorisées.
Il existe deux types d'algorithmes de cryptographie : les algorithmes symétriques
et les algorithmes asymétriques.
Les algorithmes symétriques utilisent la même clé pour chiffrer et déchiffrer les
données. Alice et Bob doivent donc échanger la clé secrète avant de pouvoir
communiquer en toute sécurité.
Les algorithmes asymétriques utilisent deux clés différentes : une clé publique
pour chiffrer les données et une clé privée pour les déchiffrer. La clé publique
peut être partagée avec tout le monde, tandis que la clé privée doit être gardée
secrète.

8. Algorithmes symétriques

a) Chiffrement de cesar
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 74 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Le chiffrement de César est une technique de cryptographie simple qui consiste à
décaler les lettres de l'alphabet d'un certain nombre de positions pour obtenir le
texte chiffré. Cette méthode a été inventée par Jules César pour communiquer
avec ses généraux de manière sécurisée.
Voici comment fonctionne le chiffrement de César :
• Choisir un décalage (appelé aussi clé de chiffrement) compris entre 1 et 25.
Par exemple, si on choisit un décalage de 3, le texte "BONJOUR" sera
chiffré en "ERQGRQX".

• Pour chiffrer le texte, on remplace chaque lettre par la lettre située trois
positions plus loin dans l'alphabet. Dans notre exemple, "B" devient "E",
"O" devient "R", "N" devient "Q", "J" devient "G", "O" devient "R" et "U"
devient "X".

• Pour déchiffrer le texte, on effectue l'opération inverse en décalant les

lettres de trois positions vers la gauche dans l'alphabet. Dans notre
exemple, "ERQGRQX" devient "BONJOUR".

Pour chiffrer le texte "HELLO WORLD", on remplace chaque lettre par la lettre
située cinq positions plus loin dans l'alphabet. "H" devient "M", "E" devient "J",
"L" devient "Q", "L" devient "Q", "O" devient "T", "W" devient "B", "O" devient
"T", "R" devient "W", "L" devient "Q" et "D" devient "i".

Pour déchiffrer le texte "MJQQT BTwqi", on effectue l'opération inverse en

décalant les lettres de cinq positions vers la gauche dans l'alphabet. "M" devient
"H", "J" devient "E", "Q" devient "L", "Q" devient "L", "T" devient "O", "B"
devient "W", "T" devient "O", "W" devient "R", "Q" devient "L" et "i" devient
"D". On obtient donc le texte clair "HELLO WORLD".

b) Chiffrement de Vigenere
Le chiffrement de Vigenère est une méthode de chiffrement plus avancée que le
chiffrement de César. Elle a été inventée par Blaise de Vigenère au XVIe siècle
et utilise une clé pour décaler les lettres du texte en clair. Voici comment cela
fonctionne :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 75 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Supposons que nous voulions chiffrer le message "BONJOUR" avec la clé
"CLE". Tout d'abord, nous écrivons la clé au-dessus du message, en répétant la
clé autant de fois que nécessaire pour qu'elle corresponde à la longueur du
message :

BONJOUR
CLECLECL

Ensuite, nous utilisons la clé pour décaler chaque lettre du message. Pour ce faire,
nous additionnons la valeur numérique de chaque lettre de la clé à la valeur
numérique de la lettre correspondante du message, en utilisant le tableau suivant
:

ABCDEFGHIJKLMNOPQRSTUVWXYZ
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

Par exemple, pour chiffrer la première lettre du message "B", nous ajoutons la
valeur numérique de la première lettre de la clé "C" (2) à la valeur numérique de
"B" (1), ce qui donne 3. Nous cherchons ensuite la lettre correspondant à la valeur
numérique 3 dans le tableau ci-dessus, qui est "D". Nous remplaçons donc la
première lettre du message "B" par "D".

Nous répétons ce processus pour chaque lettre du message, en utilisant la clé pour
décaler chaque lettre. Dans notre exemple, cela donne :

BONJOUR
CLECLECL
DPQKPUDP

Le message chiffré est donc "DPQKPUDP".

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 76 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Pour déchiffrer le message, nous suivons le processus inverse. Nous soustrayons
la valeur numérique de chaque lettre de la clé à la valeur numérique de la lettre
correspondante du message chiffré, en utilisant le tableau ci-dessus. Dans notre
exemple, cela donne :

DPQKPUDP
CLECLECL
BONJOUR

Le message déchiffré est donc "BONJOUR".

Le chiffrement de Vigenère est plus difficile à casser que le chiffrement de César,

car il utilise une clé pour décaler les lettres du message. Cependant, il peut être
vulnérable à une attaque par force brute si la clé est courte ou facile à deviner.

c) Chiffrement de HILL
Le chiffrement de Hill est une méthode de chiffrement polygraphique, c'est-à-dire
qu'elle permet de chiffrer plusieurs lettres en même temps. Cette méthode a été
inventée par le mathématicien Lester S. Hill en 1929.

Le principe du chiffrement de Hill est basé sur l'utilisation de matrices pour

effectuer des transformations linéaires sur les lettres du message à chiffrer. Pour
cela, on utilise une matrice carrée de taille n x n, où n est le nombre de lettres à
chiffrer en même temps. Cette matrice est appelée "matrice de chiffrement".

Pour chiffrer un message, on commence par le diviser en blocs de n lettres.

Chaque bloc est alors considéré comme un vecteur colonne de taille n. On
multiplie ensuite ce vecteur colonne par la matrice de chiffrement pour obtenir
un nouveau vecteur colonne, qui correspond au bloc chiffré.

Voici un exemple de chiffrement de Hill avec une matrice de chiffrement 3x3 :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 77 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Supposons que nous voulions chiffrer le message "HELLO" avec la matrice de

chiffrement suivante :

123
456
789

Nous commençons par diviser le message en blocs de 3 lettres : "HEL" et "LO".

Nous considérons ensuite chaque bloc comme un vecteur colonne :

HEL
7 4 11

LO
11 14

Nous multiplions ensuite chaque vecteur colonne par la matrice de chiffrement

pour obtenir les blocs chiffrés :
1 2 3
(7 4 11) × (4 5 6) = (95 122 144)
7 8 9

95 correspond à la lettre "Q", 122 correspond à la lettre "U“, 144 correspond à la

lettre "O" (en utilisant l'alphabet A-Z = 0-25 et en prenant le reste de la division
par 26).

Le premier bloc chiffré est donc "QXO".

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 78 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Nous répétons ensuite le processus pour le deuxième bloc, mais le problème est
au niveau de la taille des blocs qui devrait être de 3

Comment résoudre ce problème ?

9. Algorithmes asymétriques
Le chiffrement RSA est une méthode de cryptographie asymétrique largement
utilisée dans les systèmes de sécurité informatique. Cette méthode a été inventée
en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman, dont les initiales
forment le nom RSA.

Le principe du chiffrement RSA repose sur la factorisation des grands nombres

premiers. Il utilise deux clés : une clé publique pour chiffrer le message et une clé
privée pour le déchiffrer. La clé publique est accessible à tous, tandis que la clé
privée est gardée secrète par le destinataire du message.

Voici un exemple concret de chiffrement RSA :

Etape 1 : Génération des clés

Pour générer les clés, nous devons choisir deux nombres premiers p et q et
calculer leur produit n = p*q. Dans notre exemple, nous choisissons p = 3 et q =
11, ce qui donne n = 33.

Nous calculons ensuite la fonction indicatrice d'Euler φ(n) = (p-1)*(q-1) = 20.

Nous choisissons ensuite un nombre entier e tel que e < φ(n) et e soit premier
avec φ(n). Dans notre exemple, nous choisissons e = 7.

Nous calculons ensuite la clé privée d telle que d * e = 1 mod φ(n). Dans notre
exemple, nous obtenons d = 3.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 79 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

La clé publique est donc (n, e) = (33, 7) et la clé privée est (n, d) = (33, 3).

Etape 2 : Chiffrement du message

Pour chiffrer un message, nous devons le convertir en une suite de nombres

entiers. Dans notre exemple, nous choisissons le message "A". Nous
convertissons "A" en son équivalent ASCII, qui est 65.

Nous calculons ensuite le message chiffré c en élevant le message en clair à la

puissance e et en prenant le reste de la division par n : c = 65^7 mod 33 = 19.

Le message chiffré est donc 19.

Etape 3 : Déchiffrement du message

Pour déchiffrer le message, nous devons calculer le message en clair m en élevant

le message chiffré à la puissance d et en prenant le reste de la division par n : m
= 19^3 mod 33 = 65.

Nous convertissons ensuite le nombre entier obtenu en son équivalent ASCII, qui
est "A".

Le message déchiffré est donc "A".

En résumé, le chiffrement RSA consiste à chiffrer un message en utilisant une clé

publique et à le déchiffrer en utilisant une clé privée. La sécurité de cette méthode
repose sur la difficulté de factoriser de grands nombres premiers. Plus les
nombres premiers utilisés pour générer les clés sont grands, plus la méthode est
sûre. Cependant, cela peut également rendre le chiffrement et le déchiffrement
plus lents.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 80 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

10.Fonction de hachage
Les fonctions de hachage sont des algorithmes mathématiques qui prennent en
entrée une donnée de taille variable et produisent une sortie de taille fixe, appelée
empreinte numérique ou valeur de hachage. Cette sortie est une représentation
unique de la donnée d'entrée, et même une petite modification de la donnée
d'entrée entraînera une valeur de hachage complètement différente.

Le rôle des fonctions de hachage dans la sécurité informatique est multiple :

• Intégrité des données : les fonctions de hachage sont utilisées pour vérifier
l'intégrité des données. En comparant la valeur de hachage d'une donnée
avant et après son transfert ou son stockage, on peut détecter si la donnée
a été modifiée ou altérée.

• Authentification : les fonctions de hachage sont utilisées pour stocker les

mots de passe sous forme de valeurs de hachage plutôt qu'en clair.
Lorsqu'un utilisateur entre son mot de passe, la valeur de hachage du mot
de passe entré est comparée à la valeur de hachage stockée dans la base de
données. Si les deux valeurs correspondent, l'utilisateur est authentifié.

Supposons que nous ayons deux chaînes de caractères très proches :

- "renard"
- "renard " (avec un espace à la fin)

Si nous utilisons la fonction de hachage SHA-256 pour calculer les valeurs de

hachage de ces deux chaînes, nous obtenons les résultats suivants :

"renard":
56146d9b53515655bcecc46cc1a1b92a2a1d2cb19c1ec10c0139504a22a4f873

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 81 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
"renard":
482c811da5a1b85b1ae3e90bfea70a296a1c7d37e2d5c1bbf710f789d18aeb39

Bien que les deux chaînes ne diffèrent que d'un espace, les valeurs de hachage
sont complètement différentes. Cela montre que les fonctions de hachage sont
très sensibles aux modifications de la donnée d'entrée, ce qui les rend utiles pour
détecter les altérations de données.
11.Cryptanalyse
La cryptanalyse est l'étude des méthodes utilisées pour déchiffrer des messages
chiffrés sans disposer de la clé de déchiffrement. Elle est utilisée pour tester la
sécurité des systèmes de chiffrement et pour casser les codes utilisés par des
adversaires. Voici quelques-unes des méthodes de cryptanalyse les plus courantes
:

• L'analyse de fréquence : cette méthode consiste à analyser la fréquence

d'apparition des lettres dans le texte chiffré pour déduire le texte en clair.
Cette méthode fonctionne bien pour les chiffrements simples tels que le
chiffrement de César ou le chiffrement de Vigenère.

• L'attaque par force brute : cette méthode consiste à essayer toutes les clés
possibles jusqu'à ce que la bonne soit trouvée. Cette méthode peut être très
efficace pour les chiffrements faibles, mais peut prendre beaucoup de
temps pour les chiffrements plus forts.

• L'attaque par dictionnaire : cette méthode consiste à utiliser une liste de

mots couramment utilisés pour essayer de deviner la clé de déchiffrement.
Cette méthode peut être très efficace si la clé est un mot courant ou une
phrase courante.

• L'attaque par texte clair connu : cette méthode consiste à utiliser une partie
du texte en clair pour déduire la clé de déchiffrement. Cette méthode peut
être très efficace si une partie du texte en clair est connue.

• L'attaque par cryptanalyse différentielle : cette méthode consiste à analyser

les différences entre les textes chiffrés pour déduire la clé de déchiffrement.
Cette méthode peut être très efficace contre les chiffrements par blocs tels
que DES et AES.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 82 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

• L'attaque par cryptanalyse linéaire : cette méthode consiste à analyser les

relations linéaires entre les bits du texte en clair et du texte chiffré pour
déduire la clé de déchiffrement. Cette méthode peut être très efficace contre
les chiffrements par blocs tels que DES.

• L'attaque par side-channel : cette méthode consiste à analyser les

informations physiques émises par un système de chiffrement (comme la
consommation d'énergie ou les émissions électromagnétiques) pour
déduire la clé de déchiffrement. Cette méthode peut être très efficace contre
les systèmes de chiffrement matériels.

12.Sécurité physique
La sécurité physique est un aspect important de la sécurité informatique. Elle se
réfère aux mesures prises pour protéger les équipements informatiques, les
installations et les personnes contre les menaces physiques telles que le vol, le
vandalisme, les incendies, les inondations et autres catastrophes naturelles. Voici
quelques-unes des méthodes de sécurité physique les plus courantes utilisées pour
protéger les actifs informatiques.

• Contrôle d'accès physique : La mise en place de contrôles d'accès physique

est l'une des méthodes les plus courantes pour protéger les actifs
informatiques. Cela peut inclure l'utilisation de serrures, de clés, de cartes
d'accès, de badges d'identification et de systèmes biométriques pour
contrôler l'accès aux installations informatiques.

• Surveillance vidéo : La surveillance vidéo est une autre méthode courante

de sécurité physique. Les caméras de surveillance peuvent être utilisées
pour surveiller les entrées et les sorties des installations informatiques,
ainsi que pour surveiller les zones sensibles telles que les salles de serveurs
et les centres de données.

• Systèmes d’alarme : Les systèmes d'alarme peuvent être utilisés pour

détecter les intrusions et les activités suspectes dans les installations
informatiques. Les systèmes d'alarme peuvent être configurés pour alerter
les autorités compétentes en cas d'intrusion ou d'activité suspecte.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 83 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Protection contre les incendies : Les incendies peuvent causer des
dommages importants aux équipements informatiques et aux installations.
Les systèmes de protection contre les incendies tels que les extincteurs, les
détecteurs de fumée et les systèmes d'extinction automatique peuvent aider
à prévenir les incendies et à minimiser les dommages en cas d'incendie.

• Protection contre les catastrophes naturelles : Les catastrophes naturelles

telles que les inondations, les tremblements de terre et les ouragans peuvent
causer des dommages importants aux installations informatiques. Les
mesures de protection contre les catastrophes naturelles comprennent la
construction de bâtiments résistants aux catastrophes naturelles,
l'utilisation de systèmes de sauvegarde hors site et la mise en place de plans
de reprise après sinistre.

• Protection contre le vol : Le vol d'équipements informatiques peut entraîner

des pertes importantes pour une entreprise. Les mesures de protection
contre le vol comprennent l'utilisation de cadenas, de chaînes et de
dispositifs de suivi pour protéger les équipements informatiques contre le
vol.

13.Evaluation des acquis

1. Qu'est-ce qu'un modèle de sécurité ?
a) Une représentation physique d'un système informatique
b) Une représentation abstraite des éléments d'un système informatique et de leurs
interactions en matière de sécurité
c) Un ensemble de règles régissant l'utilisation d'un système informatique
d) Une architecture matérielle sécurisée pour un système informatique
2. Quel est le principal objectif du modèle de Bell-LaPadula ?
a) Assurer l'intégrité des données
b) Assurer la confidentialité des données
c) Assurer la disponibilité des données
d) Assurer l'authentification des utilisateurs
3. Quel est le principe de fonctionnement du chiffrement de César ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 84 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Substitution monoalphabétique
b) Substitution polyalphabétique
c) Transposition
d) Chiffrement symétrique
4. Qu'est-ce que le chiffrement RSA ?
a) Un algorithme de chiffrement symétrique
b) Un algorithme de chiffrement asymétrique
c) Un algorithme de hachage
d) Un algorithme de compression de données
5. Qu'est-ce qu'une fonction de hachage ?
a) Une fonction qui transforme un message en un code secret
b) Une fonction qui transforme un message en un résumé fixe de longueur
c) Une fonction qui transforme un message en un autre message de même
longueur
d) Une fonction qui transforme un message en un autre message de longueur
variable
6. Qu'est-ce que la cryptanalyse ?
a) L'étude de la conception de nouveaux algorithmes de chiffrement
b) L'étude de la sécurité des algorithmes de chiffrement existants
c) L'étude de la conception de nouveaux systèmes d'exploitation sécurisés
d) L'étude de la conception de nouveaux matériels informatiques sécurisés
7. Qu'est-ce que la sécurité physique ?
a) La protection des données et des systèmes informatiques contre les accès non
autorisés
b) La protection des données et des systèmes informatiques contre les attaques
logiques
c) La protection des locaux, des équipements et des personnes contre les menaces
physiques
d) La protection des réseaux informatiques contre les attaques distribuées

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 85 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
8. Qu'est-ce qu'un contrôle d'accès ?
a) Un mécanisme de sécurité qui vérifie l'identité d'un utilisateur
b) Un mécanisme de sécurité qui limite l'accès aux ressources d'un système
informatique
c) Un mécanisme de sécurité qui surveille les activités des utilisateurs
d) Un mécanisme de sécurité qui chiffre les données
9. Qu'est-ce qu'une vulnérabilité ?
a) Une faille dans un système informatique qui peut être exploitée par un
attaquant
b) Un logiciel malveillant
c) Une attaque contre un système informatique
d) Un incident de sécurité
10. Qu'est-ce qu'une menace ?
a) Une faille dans un système informatique qui peut être exploitée par un
attaquant
b) Un logiciel malveillant
c) Une attaque contre un système informatique
d) Un risque potentiel pour la sécurité d'un système informatique
11. Qu'est-ce que la virtualisation ?
a) La création de plusieurs systèmes d'exploitation sur une seule machine
physique
b) La création d'un réseau privé virtuel
c) La création d'un environnement de stockage virtuel
d) La création d'un environnement de test virtuel
12. Qu'est-ce qu'un hyperviseur ?
a) Un logiciel de virtualisation de type 1
b) Un logiciel de virtualisation de type 2
c) Un logiciel de sécurité pour les environnements virtualisés
d) Un logiciel de gestion de réseau virtuel

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 86 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
13. Qu'est-ce qu'un TPM ?
a) Un module matériel de sécurité pour les ordinateurs portables
b) Un module matériel de sécurité pour les serveurs
c) Un module matériel de sécurité pour les périphériques de stockage
d) Un module matériel de sécurité pour les cartes mères
14. Qu'est-ce que le chiffrement de disque ?
a) Le chiffrement des données sur un disque dur
b) Le chiffrement des données sur un disque optique
c) Le chiffrement des données sur un disque amovible
d) Le chiffrement des données sur un disque réseau
15. Qu'est-ce qu'un pare-feu ?
a) Un logiciel de sécurité qui bloque les connexions entrantes et sortantes non
autorisées
b) Un logiciel de sécurité qui analyse le trafic réseau à la recherche de menaces
c) Un logiciel de sécurité qui chiffre les données
d) Un logiciel de sécurité qui authentifie les utilisateurs
16. Qu'est-ce qu'un IDS ?
a) Un système de détection d'intrusion
b) Un système de prévention d'intrusion
c) Un système de détection de virus
d) Un système de détection de spam
17. Qu'est-ce qu'un VPN ?
a) Un réseau privé virtuel
b) Un réseau public virtuel
c) Un réseau personnel virtuel
d) Un réseau professionnel virtuel
18. Qu'est-ce qu'une clé de chiffrement ?
a) Un mot de passe utilisé pour chiffrer et déchiffrer des données

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 87 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) Une clé USB contenant un logiciel de chiffrement
c) Une clé matérielle utilisée pour chiffrer et déchiffrer des données
d) Un fichier contenant des informations de chiffrement
19. Qu'est-ce que l'authentification à deux facteurs ?
a) Une méthode d'authentification qui utilise deux mots de passe différents
b) Une méthode d'authentification qui utilise un mot de passe et une empreinte
digitale
c) Une méthode d'authentification qui utilise un mot de passe et une carte à puce
d) Une méthode d'authentification qui utilise un mot de passe et une adresse IP
20. Qu'est-ce qu'un certificat numérique ?
a) Un fichier contenant des informations de chiffrement
b) Un fichier contenant des informations d'authentification
c) Un fichier contenant des informations de compression
d) Un fichier contenant des informations de réseau
21. Qu'est-ce que la sécurité périmétrique ?
a) La sécurité des périphériques connectés à un réseau
b) La sécurité des données stockées sur des périphériques de stockage
c) La sécurité des réseaux sans fil
d) La sécurité des réseaux locaux
22. Qu'est-ce qu'une politique de sécurité ?
a) Un ensemble de règles régissant l'utilisation d'un système informatique
b) Un ensemble de règles régissant la gestion des mots de passe
c) Un ensemble de règles régissant la gestion des vulnérabilités
d) Un ensemble de règles régissant la gestion des incidents de sécurité
23. Qu'est-ce qu'un audit de sécurité ?
a) Une évaluation de la sécurité d'un système informatique
b) Une analyse des vulnérabilités d'un système informatique
c) Une analyse des logs d'un système informatique

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 88 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
d) Une analyse des performances d'un système informatique
24. Qu'est-ce qu'un test d'intrusion ?
a) Une évaluation de la sécurité d'un système informatique
b) Une analyse des vulnérabilités d'un système informatique
c) Une simulation d'attaque contre un système informatique
d) Une analyse des performances d'un système informatique
25. Qu'est-ce que le RGPD ?
a) Un règlement européen sur la protection des données personnelles
b) Un règlement européen sur la protection des données professionnelles
c) Un règlement européen sur la protection des données publiques
d) Un règlement européen sur la protection des données privées

14.TP
TP 1 : Dans le cadre de ce travail pratique, vous êtes chargé de concevoir et de
développer un site web sécurisé pour une entreprise spécialisée dans le traitement
de données informatiques. Cette entreprise traite des données sensibles pour ses
clients et doit donc garantir la confidentialité et l'intégrité de ces données. Pour
cela, elle a décidé d'implémenter le modèle d'accès Chinese Wall.

Le site web doit permettre aux employés de l'entreprise de se connecter à l'aide

de leurs identifiants personnels. Une fois connectés, les employés ne doivent
avoir accès qu'aux données qui leur sont affectées dans le cadre de leur projet.
Pour garantir l'intégrité des données, les employés doivent également pouvoir
vérifier l'intégrité des données avant de commencer à travailler dessus à l'aide
d'une fonction de hachage définie au préalable.

En plus du site web, vous devez également décrire les moyens de sécurité
physique qui peuvent être mis en œuvre dans le centre de données de l'entreprise
pour protéger les serveurs et les données stockées dessus. Ces moyens de sécurité
physique peuvent inclure la surveillance vidéo, le contrôle d'accès, la protection
contre les incendies et les inondations, etc.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 89 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Le site web doit être développé à l'aide d'un framework web sécurisé et les mots
de passe des employés doivent être stockés de manière sécurisée à l'aide d'un
algorithme de hachage approprié. Le site web doit également être testé pour
détecter d'éventuelles vulnérabilités et failles de sécurité.

À la fin du travail pratique, vous devez fournir un rapport détaillé décrivant le site
web développé, les moyens de sécurité physique proposés pour le centre de
données et les résultats des tests de sécurité effectués sur le site web. Énoncé du
travail pratique :

Dans le cadre de ce travail pratique, vous êtes chargé de concevoir et de

développer un site web sécurisé pour une entreprise spécialisée dans le traitement
de données informatiques. Cette entreprise traite des données sensibles pour ses
clients et doit donc garantir la confidentialité et l'intégrité de ces données. Pour
cela, elle a décidé d'implémenter le modèle d'accès Chinese Wall.

Le site web doit permettre aux employés de l'entreprise de se connecter à l'aide

de leurs identifiants personnels. Une fois connectés, les employés ne doivent
avoir accès qu'aux données qui leur sont affectées dans le cadre de leur projet.
Pour garantir l'intégrité des données, les employés doivent également pouvoir
vérifier l'intégrité des données avant de commencer à travailler dessus à l'aide
d'une fonction de hachage définie au préalable.

En plus du site web, vous devez également décrire les moyens de sécurité
physique qui peuvent être mis en œuvre dans le centre de données de l'entreprise
pour protéger les serveurs et les données stockées dessus. Ces moyens de sécurité
physique peuvent inclure la surveillance vidéo, le contrôle d'accès, la protection
contre les incendies et les inondations, etc.

Le site web doit être développé à l'aide d'un framework web sécurisé et les mots
de passe des employés doivent être stockés de manière sécurisée à l'aide d'un
algorithme de hachage approprié. Le site web doit également être testé pour
détecter d'éventuelles vulnérabilités et failles de sécurité.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 90 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

À la fin du travail pratique, vous devez fournir une présentation décrivant le site
web développé, les moyens de sécurité physique proposés.

TP 2 : prise en main du pare-feu pfsense : installation et fonctionnalités

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 91 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE V
RESEAUX ET COMMUNICATIONS

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 92 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
V. Réseaux et communications
Les réseaux informatiques sont aujourd'hui un élément essentiel de tout système
d'information, permettant d'interconnecter les équipements entre eux et de
faciliter la communication et l'échange de données. Cependant, cette
interconnectivité accrue expose également les réseaux à de nombreuses menaces
et vulnérabilités, qui peuvent avoir des conséquences graves sur la sécurité de
l'entreprise.
Dans ce module, nous allons explorer les différents aspects de la sécurité des
réseaux informatiques, allant des architectures réseau aux protocoles de
communication, en passant par les périphériques réseau et les technologies de
communication sécurisée. Nous verrons également les différents types d'attaques
réseau et les bonnes pratiques pour se protéger contre ces menaces.
Notre objectif est de vous donner une compréhension approfondie de la sécurité
des réseaux informatiques, afin que vous puissiez concevoir, mettre en œuvre et
gérer des réseaux sécurisés pour votre entreprise. Nous espérons que ce module
vous fournira les connaissances et les compétences nécessaires pour relever les
défis de la sécurité réseau et protéger efficacement votre entreprise contre les
menaces en constante évolution.

1. Les modèles réseaux

Les modèles de réseaux sont des cadres conceptuels qui décrivent les différents
niveaux de communication dans un réseau informatique. Les deux modèles les
plus couramment utilisés sont le modèle OSI (Open Systems Interconnection) et
le modèle TCP/IP (Transmission Control Protocol/Internet Protocol).
a) Le modèle OSI
Le modèle OSI est composé de sept couches, chacune ayant un rôle spécifique
dans la communication réseau. Les couches sont les suivantes, de la plus basse à
la plus haute :
- Couche physique : cette couche est responsable de la transmission
des bits entre les périphériques réseau. Elle définit les
caractéristiques électriques, mécaniques et fonctionnelles du
support de transmission (câble, fibre optique, etc.).

- Couche liaison de données : cette couche est responsable de la

transmission des trames entre les périphériques réseau. Elle assure

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 93 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
la fiabilité de la transmission en détectant et en corrigeant les erreurs
de transmission.

- Couche réseau : cette couche est responsable de la transmission des

paquets entre les réseaux. Elle définit les adresses logiques
(adresses IP) et les chemins de routage pour acheminer les paquets
vers leur destination.

- Couche transport : cette couche est responsable de la transmission

des segments entre les applications. Elle assure la fiabilité de la
transmission en contrôlant la séquence des segments et en gérant les
retransmissions en cas d'erreur.

- Couche session : cette couche est responsable de l'établissement,

de la maintenance et de la terminaison des sessions entre les
applications. Elle permet aux applications de synchroniser leurs
échanges de données.

- Couche présentation : cette couche est responsable de la

présentation des données aux applications. Elle assure la conversion
des données entre les différents formats utilisés par les applications.

- Couche application : cette couche est responsable de la fourniture

de services aux applications. Elle permet aux applications de
communiquer entre elles et d'accéder aux ressources réseau.
La transmission des paquets entre les couches se fait de manière séquentielle, de
la couche la plus basse à la couche la plus haute. Lorsqu'un périphérique réseau
envoie un paquet, celui-ci est transmis de la couche physique à la couche liaison
de données, où il est encapsulé dans une trame. La trame est ensuite transmise à
la couche réseau, où elle est encapsulée dans un paquet. Le paquet est ensuite
transmis à la couche transport, où il est encapsulé dans un segment. Le segment
est ensuite transmis aux couches supérieures, jusqu'à atteindre la couche
application.
Lorsque le paquet atteint sa destination, le processus inverse se produit : le paquet
est transmis de la couche application à la couche transport, où il est désencapsulé
en segment. Le segment est ensuite transmis à la couche réseau, où il est
désencapsulé en paquet. Le paquet est ensuite transmis à la couche liaison de
données, où il est désencapsulé en trame. Enfin, la trame est transmise à la couche
physique, où elle est transmise sous forme de bits à la destination finale.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 94 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Figure 5 Encapsulation Modèle OSI

b) Le modèle TCP/IP
Le modèle TCP/IP (Transmission Control Protocol/Internet Protocol) est un
modèle de réseau informatique utilisé pour la communication sur Internet. Il a été
créé dans les années 1970 par le Département de la Défense des États-Unis pour
remplacer le modèle OSI, qui était considéré comme trop complexe et peu adapté
aux besoins de l'époque.

Le modèle TCP/IP est composé de quatre couches, chacune ayant un rôle

spécifique dans la communication réseau. Les couches sont les suivantes, de la
plus basse à la plus haute :

- Couche d'accès au réseau : cette couche est responsable de la

transmission des bits entre les périphériques réseau. Elle définit les
caractéristiques électriques, mécaniques et fonctionnelles du
support de transmission (câble, fibre optique, etc.).

- Couche Internet : cette couche est responsable de la transmission

des paquets entre les réseaux. Elle définit les adresses logiques
(adresses IP) et les chemins de routage pour acheminer les paquets
vers leur destination.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 95 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
- Couche de transport : cette couche est responsable de la
transmission des segments entre les applications. Elle assure la
fiabilité de la transmission en contrôlant la séquence des segments
et en gérant les retransmissions en cas d'erreur.

- Couche d'application : cette couche est responsable de la

fourniture de services aux applications. Elle permet aux
applications de communiquer entre elles et d'accéder aux ressources
réseau.

Le modèle TCP/IP est similaire au modèle OSI dans sa structure en couches et

son fonctionnement général, mais il présente quelques différences importantes.
Tout d'abord, le modèle TCP/IP ne comporte que quatre couches, contre sept pour
le modèle OSI. Ensuite, le modèle TCP/IP ne définit pas de couche de
présentation ou de session, ces fonctions étant intégrées dans les couches
supérieures. Enfin, le modèle TCP/IP est plus souple et plus adaptable que le
modèle OSI, ce qui lui a permis de s'adapter aux évolutions rapides des
technologies de l'information.

L'échange de paquets dans le modèle TCP/IP se fait de manière similaire à celui

du modèle OSI, mais avec quelques différences importantes. Tout d'abord, les
paquets sont appelés datagrammes dans le modèle TCP/IP. Ensuite, le processus
d'encapsulation et de désencapsulassions est légèrement différent. Lorsqu'un
périphérique réseau envoie un datagramme, celui-ci est transmis de la couche
d'accès au réseau à la couche Internet, où il est encapsulé dans un paquet. Le
paquet est ensuite transmis à la couche de transport, où il est encapsulé dans un
segment. Le segment est ensuite transmis à la couche d'application, où il est traité
par l'application destinataire.

Lorsque le datagramme atteint sa destination, le processus inverse se produit : le

segment est transmis de la couche d'application à la couche de transport, où il est
désencapsulé en paquet. Le paquet est ensuite transmis à la couche Internet, où il
est désencapsulé en datagramme. Enfin, le datagramme est transmis à la couche
d'accès au réseau, où il est transmis sous forme de bits à la destination finale.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 96 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Figure 6 Encapsulation modèle TCP/IP

2. Protocoles des couches de basses

Les protocoles des couches basses sont des protocoles de communication utilisés
dans les couches inférieures du modèle OSI et du modèle TCP/IP. Ils sont
responsables de la transmission des données entre les périphériques réseau et
jouent un rôle crucial dans la communication réseau.

Couche physique : La couche physique est la couche la plus basse du modèle

OSI. Elle est responsable de la transmission des bits entre les périphériques
réseau. Les protocoles utilisés dans cette couche dépendent du type de support de
transmission utilisé (câble, fibre optique, etc.). Les protocoles les plus courants
de la couche physique sont :
- Ethernet : utilisé pour les réseaux locaux (LAN). Il utilise un câble
à paires torsadées ou une fibre optique pour transmettre les données.
- Wi-Fi : utilisé pour les réseaux sans fil. Il utilise des ondes radio
pour transmettre les données.
- Bluetooth : utilisé pour les connexions sans fil à courte portée. Il
utilise des ondes radio pour transmettre les données.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 97 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Couche liaison de données : La couche liaison de données est la deuxième
couche du modèle OSI. Elle est responsable de la transmission des trames entre
les périphériques réseau. Les protocoles utilisés dans cette couche sont :
- IEEE 802.3 : utilisé pour les réseaux Ethernet. Il définit les règles
de transmission des trames sur un réseau Ethernet.
- IEEE 802.11 : utilisé pour les réseaux Wi-Fi. Il définit les règles de
transmission des trames sur un réseau Wi-Fi.
- PPP (Point-to-Point Protocol) : utilisé pour les connexions point à
point, comme les connexions Internet par modem. Il permet
d'établir une connexion entre deux périphériques réseau.
Couche réseau : La couche réseau est la troisième couche du modèle OSI. Elle
est responsable de la transmission des paquets entre les réseaux. Les protocoles
utilisés dans cette couche sont :
- IP (Internet Protocol) : utilisé pour acheminer les paquets sur
Internet. Il définit les adresses logiques (adresses IP) et les chemins
de routage pour acheminer les paquets vers leur destination.
- ICMP (Internet Control Message Protocol) : utilisé pour envoyer
des messages d'erreur et de contrôle sur Internet. Il permet de
diagnostiquer les problèmes de connectivité réseau.
- ARP (Address Resolution Protocol) : utilisé pour associer une
adresse IP à une adresse physique (adresse MAC) sur un réseau
local.
Couche transport : La couche transport est la quatrième couche du modèle OSI.
Elle est responsable de la transmission des segments entre les applications. Les
protocoles utilisés dans cette couche sont :
- TCP (Transmission Control Protocol) : utilisé pour établir une
connexion fiable entre deux périphériques réseau. Il assure la
fiabilité de la transmission en contrôlant la séquence des segments
et en gérant les retransmissions en cas d'erreur. Le numéro de port
par défaut utilisé pour TCP est 80.
- UDP (User Datagram Protocol) : utilisé pour établir une
connexion non fiable entre deux périphériques réseau. Il ne garantit
pas la fiabilité de la transmission, mais permet une transmission
plus rapide des données. Le numéro de port par défaut utilisé pour
UDP est 53.

3. Protocoles applicatifs fondamentaux

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 98 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Les protocoles applicatifs sont des protocoles de communication utilisés dans la
couche application du modèle OSI et du modèle TCP/IP. Ils permettent aux
applications de communiquer entre elles et d'accéder aux ressources réseau.
- HTTP (Hypertext Transfer Protocol) : HTTP est le protocole
utilisé pour transférer des pages web sur Internet. Il permet aux
navigateurs web de communiquer avec les serveurs web et de
récupérer les pages web demandées. Le numéro de port par défaut
utilisé pour HTTP est 80.

- HTTPS (Hypertext Transfer Protocol Secure) : HTTPS est une

version sécurisée de HTTP. Il utilise le protocole SSL/TLS pour
chiffrer les données échangées entre le navigateur web et le serveur
web. Le numéro de port par défaut utilisé pour HTTPS est 443.

- FTP (File Transfer Protocol) : FTP est le protocole utilisé pour

transférer des fichiers entre deux périphériques réseau. Il permet de
télécharger des fichiers depuis un serveur FTP et de téléverser des
fichiers vers un serveur FTP. Le numéro de port par défaut utilisé
pour FTP est 21.

- SMTP (Simple Mail Transfer Protocol) : SMTP est le protocole

utilisé pour envoyer des courriels sur Internet. Il permet aux
serveurs de messagerie d'envoyer et de recevoir des courriels. Le
numéro de port par défaut utilisé pour SMTP est 25.

- POP3 (Post Office Protocol version 3) : POP3 est le protocole

utilisé pour récupérer des courriels depuis un serveur de messagerie.
Il permet aux clients de messagerie de récupérer les courriels
stockés sur le serveur de messagerie. Le numéro de port par défaut
utilisé pour POP3 est 110.

- IMAP (Internet Message Access Protocol) : IMAP est un

protocole utilisé pour récupérer des courriels depuis un serveur de
messagerie. Il permet aux clients de messagerie de récupérer les
courriels stockés sur le serveur de messagerie et de les synchroniser
avec le serveur. Le numéro de port par défaut utilisé pour IMAP est
143.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 99 sur 174

 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
- DNS (Domain Name System) : DNS est le protocole utilisé pour
associer un nom de domaine à une adresse IP. Il permet de traduire
les noms de domaine en adresses IP et inversement. Le numéro de
port par défaut utilisé pour DNS est 53.

4. Technologies LAN et WAN

➢ Technologies LAN : Les LAN sont des réseaux locaux qui couvrent une
petite zone géographique, comme un bâtiment ou un campus. Les
technologies les plus courantes utilisées dans les LAN sont :

o Ethernet : Ethernet est la technologie LAN la plus courante. Elle

utilise un câble à paires torsadées ou une fibre optique pour
transmettre les données. Les vitesses de transmission varient de 10
Mbps à 100 Gbps.

o Wi-Fi : Wi-Fi est une technologie LAN sans fil qui utilise des
ondes radio pour transmettre les données. Les vitesses de
transmission varient de 11 Mbps à plusieurs Gbps, en fonction de
la norme Wi-Fi utilisée.

o Bluetooth : Bluetooth est une technologie LAN sans fil à courte

portée qui utilise des ondes radio pour transmettre les données. Elle
est utilisée pour connecter des périphériques sans fil, comme des
casques audios et des claviers.

➢ Technologies WAN : Les WAN sont des réseaux étendus qui couvrent
une grande zone géographique, comme une ville, un pays ou le monde
entier. Les technologies les plus courantes utilisées dans les WAN sont
:
o Lignes louées : Les lignes louées sont des connexions point à point
dédiées entre deux sites distants. Elles sont utilisées pour transmettre
des données à haute vitesse et offrent une grande fiabilité et une
faible latence.

o Réseaux étendus virtuels (VPN) : Les VPN sont des réseaux privés
virtuels qui utilisent Internet pour transmettre des données de

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 100 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
manière sécurisée. Ils permettent de connecter des sites distants en
utilisant des protocoles de tunneling, comme PPTP, L2TP et IPSec.

o Réseaux cellulaires : Les réseaux cellulaires sont des réseaux sans

fil qui utilisent des ondes radio pour transmettre les données. Ils sont
utilisés pour fournir un accès Internet mobile aux téléphones
portables et aux autres appareils mobiles.

o Réseaux satellites : Les réseaux satellites sont des réseaux sans fil
qui utilisent des satellites en orbite pour transmettre les données. Ils
sont utilisés pour fournir un accès Internet à distance dans les zones
rurales et éloignées.

o Réseaux à large bande : Les réseaux à large bande sont des réseaux
haut débit qui utilisent des technologies comme le câble, la fibre
optique et le DSL pour transmettre les données. Ils sont utilisés pour
fournir un accès Internet haut débit aux foyers et aux entreprises.

5. Périphériques réseaux
Les périphériques réseaux sont des équipements matériels utilisés pour connecter
des ordinateurs et d'autres périphériques dans un réseau informatique. Ils sont
essentiels pour la communication réseau et permettent de transmettre des données
entre les périphériques connectés.
➢ Les concentrateurs (hubs) : Les concentrateurs sont des périphériques
réseaux qui permettent de connecter plusieurs périphériques dans un
réseau. Ils fonctionnent en transmettant toutes les données reçues sur un
port à tous les autres ports. Les concentrateurs sont considérés comme
obsolètes aujourd'hui en raison de leur manque de sécurité et de leur faible
performance.

➢ Les commutateurs (switches) : Les commutateurs sont des périphériques

réseaux qui permettent de connecter plusieurs périphériques dans un
réseau. Contrairement aux concentrateurs, les commutateurs transmettent
les données uniquement au périphérique destinataire. Les commutateurs
sont plus performants et plus sécurisés que les concentrateurs.

➢ Les routeurs : Les routeurs sont des périphériques réseaux qui permettent
de connecter des réseaux entre eux. Ils fonctionnent en acheminant les

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 101 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
paquets de données entre les réseaux en fonction de leur adresse IP. Les
routeurs sont utilisés pour connecter des réseaux locaux (LAN) à des
réseaux étendus (WAN) et pour fournir un accès Internet.

➢ Les pare-feu (firewalls) : Les pare-feu sont des périphériques réseaux qui
protègent un réseau contre les accès non autorisés et les attaques
malveillantes. Ils fonctionnent en filtrant les paquets de données entrants
et sortants en fonction de règles prédéfinies. Les pares-feux sont utilisés
pour protéger les réseaux d'entreprise et les réseaux domestiques.

➢ Les points d'accès (access points) : Les points d'accès sont des
périphériques réseaux qui permettent de connecter des périphériques sans
fil à un réseau. Ils fonctionnent en transmettant des ondes radio entre les
périphériques sans fil et le réseau filaire. Les points d'accès sont utilisés
pour fournir un accès Wi-Fi dans les bâtiments et les zones publiques.

➢ Les modems : Les modems sont des périphériques réseaux qui permettent
de connecter un ordinateur à un réseau étendu (WAN) en utilisant une ligne
téléphonique ou un câble. Ils fonctionnent en modulant et démodulant les
signaux numériques en signaux analogiques et vice versa. Les modems
sont utilisés pour fournir un accès Internet à distance.

6. Communications Sécurisées
Lorsque des données sont transmises sur un réseau, il est essentiel de garantir leur
confidentialité, leur intégrité et leur authenticité. Les communications non
sécurisées peuvent être interceptées et interprétées par des personnes
malveillantes, ce qui peut entraîner des pertes de données, des violations de la vie
privée et des atteintes à la sécurité nationale. Dans cette section, nous allons
explorer les différentes techniques utilisées pour sécuriser les communications
réseau.
Tout d'abord, nous examinerons les protocoles de sécurité, qui sont des règles et
des procédures utilisées pour sécuriser les communications réseau. Nous verrons
comment ces protocoles fonctionnent et quels sont les plus couramment utilisés.
Ensuite, nous nous pencherons sur les certificats numériques et les autorités de
certification. Les certificats numériques sont des documents électroniques qui
permettent d'authentifier l'identité d'un utilisateur ou d'un site web. Les autorités
de certification sont des organisations de confiance qui émettent et gèrent ces

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 102 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
certificats numériques. Nous verrons comment ces certificats sont utilisés pour
sécuriser les communications réseau.
Enfin, nous aborderons les réseaux privés virtuels (VPN), qui sont des réseaux
privés qui utilisent Internet pour transmettre des données de manière sécurisée.
Nous verrons comment les VPN fonctionnent et quels sont les différents types de
VPN disponibles.

a) Les protocoles de sécurité

Les protocoles de sécurité sont des règles et des procédures utilisées pour
sécuriser les communications réseau. Ils sont conçus pour garantir la
confidentialité, l'intégrité et l'authenticité des données transmises sur le réseau.
Voici quelques exemples de protocoles de sécurité couramment utilisés :
- SSL/TLS (Secure Sockets Layer/Transport Layer Security) :
SSL/TLS est un protocole de sécurité utilisé pour sécuriser les
communications entre un navigateur web et un serveur web. Il est
utilisé pour chiffrer les données transmises entre le navigateur et le
serveur, empêchant ainsi les attaquants d'intercepter et de lire les
données. SSL/TLS est utilisé pour sécuriser les transactions en
ligne, comme les achats en ligne et les transactions bancaires.

- SSH (Secure Shell) : SSH est un protocole de sécurité utilisé pour

se connecter à distance à un serveur et exécuter des commandes sur
celui-ci. Il est utilisé pour remplacer les protocoles de connexion
non sécurisés, comme Telnet. SSH est utilisé pour gérer les serveurs
distants, les routeurs et les commutateurs réseau.

- IPSec (Internet Protocol Security) : IPSec est un protocole de

sécurité utilisé pour sécuriser les communications réseau au niveau
du réseau. Il est utilisé pour chiffrer les données transmises sur le
réseau, empêchant ainsi les attaquants d'intercepter et de lire les
données. IPSec est utilisé pour sécuriser les communications VPN
et les communications entre les réseaux.

- Kerberos : Kerberos est un protocole de sécurité utilisé pour

authentifier les utilisateurs sur un réseau. Il est utilisé pour
remplacer les mots de passe en texte clair par des tickets chiffrés.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 103 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Kerberos est utilisé pour sécuriser les réseaux d'entreprise et les
réseaux universitaires.

b) Les certificats numériques et les autorités de certifications

Les certificats numériques sont des documents électroniques qui permettent
d'authentifier l'identité d'une entité (personne, serveur, site web, etc.) dans un
environnement numérique. Ils sont utilisés pour établir des communications
sécurisées entre deux entités en garantissant l'authenticité et l'intégrité des
données échangées.
Fonctionnement
Les certificats numériques sont émis par des autorités de certification (CA) qui
sont des entités de confiance reconnues par les navigateurs web et les systèmes
d'exploitation. Les CA émettent des certificats numériques en utilisant des
algorithmes cryptographiques pour chiffrer les données et garantir leur
authenticité.
Les certificats numériques contiennent des informations sur l'entité à laquelle ils
sont émis, telles que le nom, l'adresse e-mail, le nom de domaine, etc. Ils
contiennent également une clé publique qui est utilisée pour chiffrer les données
envoyées à l'entité. La clé privée correspondante est conservée par l'entité et est
utilisée pour déchiffrer les données reçues.
Supposons que vous souhaitiez accéder à un site web sécurisé en utilisant le
protocole HTTPS. Lorsque vous vous connectez au site web, le serveur web
présente son certificat numérique à votre navigateur web. Le navigateur web
vérifie alors l'authenticité du certificat numérique en utilisant la clé publique de
l'autorité de certification numérique qui a émis le certificat. Si le certificat
numérique est valide, le navigateur web établit une connexion sécurisée avec le
serveur web en utilisant le protocole SSL/TLS. Toutes les données échangées
entre le navigateur web et le serveur web sont alors chiffrées et ne peuvent être
lues que par les deux parties.
Composants d’une autorité de certification
• L'autorité d'enregistrement (RA) : elle est responsable de la vérification
de l'identité de l'entité qui demande un certificat numérique. Lorsqu’une
entité veut générer un certificat numérique, elle en fait la requête auprès de
la RA auprès de laquelle il renseignera toutes les informations relatives à
son identité

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 104 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Le serveur de certification (CA) : il est responsable de la génération et de
la signature des certificats numériques.

• Le dépôt de certificats (CRL) : il s'agit d'une liste de certificats

numériques révoqués.

• Le protocole de gestion de certificats (CMP) : il s'agit d'un protocole

utilisé pour gérer les certificats numériques.
Cycle de vie des certificats numériques
Les certificats numériques ont un cycle de vie qui comprend plusieurs étapes :
• Demande de certificat : l'entité demande un certificat numérique à une
autorité de certification en fournissant des informations sur son identité.

• Émission du certificat : l'autorité de certification vérifie l'identité de l'entité

et émet un certificat numérique.

• Installation du certificat : l'entité installe le certificat numérique sur son

serveur ou son périphérique.

• Utilisation du certificat : le certificat numérique est utilisé pour établir des

communications sécurisées avec d'autres entités.

• Renouvellement du certificat : le certificat numérique a une durée de vie

limitée et doit être renouvelé avant son expiration.

• Révocation du certificat : si le certificat numérique est compromis ou n'est

plus nécessaire, il peut être révoqué par l'autorité de certification.

c) Les VPN
Un réseau privé virtuel (VPN) est une technologie qui permet de créer une
connexion sécurisée entre deux réseaux ou entre un utilisateur et un réseau en
utilisant Internet comme moyen de transport. Les VPNs sont utilisés pour
sécuriser les communications entre des entités distantes en créant un tunnel
chiffré à travers Internet.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 105 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Les VPNs fonctionnent en créant un tunnel chiffré entre deux entités distantes.
Ce tunnel est créé en utilisant des protocoles de chiffrement tels que IPsec,
SSL/TLS ou SSH. Les données échangées entre les deux entités sont chiffrées
avant d'être transmises à travers le tunnel, ce qui empêche toute interception ou
modification non autorisée des données.
Les VPNs sont couramment utilisés en entreprise pour sécuriser les connexions à
distance. Les employés qui travaillent à distance peuvent se connecter au réseau
de l'entreprise en utilisant un VPN, ce qui leur permet d'accéder aux ressources
du réseau de l'entreprise de manière sécurisée. Les VPNs sont également utilisés
pour connecter des sites distants de l'entreprise entre eux, créant ainsi un réseau
étendu virtuel.

Figure 7 VPN pour la connexion à distance

7. Attaques réseaux
Les attaques réseaux sont des actions malveillantes visant à compromettre la
sécurité d'un réseau informatique. Ces attaques peuvent prendre différentes
formes et viser différentes cibles, telles que les serveurs, les postes de travail, les
routeurs ou les commutateurs.
• Attaque par déni de service (DoS) : Une attaque DoS consiste à submerger
un réseau ou un serveur avec un trafic excessif, ce qui le rend indisponible
pour les utilisateurs légitimes. Cette attaque peut être effectuée en
envoyant un grand nombre de requêtes à un serveur ou en exploitant une
vulnérabilité dans le système cible.
• Attaque par déni de service distribué (DDoS) : Une attaque DDoS est
similaire à une attaque DoS, mais elle est menée à partir de plusieurs
ordinateurs infectés (appelés "zombies") contrôlés à distance par un
attaquant. Cette attaque peut être plus difficile à détecter et à arrêter car
elle provient de plusieurs sources différentes.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 106 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Attaque par déni de service distribué (DDoS) : Une attaque DDoS est
similaire à une attaque DoS, mais elle est menée à partir de plusieurs
ordinateurs infectés (appelés "zombies") contrôlés à distance par un
attaquant. Cette attaque peut être plus difficile à détecter et à arrêter car
elle provient de plusieurs sources différentes.
• Attaque de l'homme du milieu (MITM) : Une attaque MITM consiste à
intercepter les communications entre deux parties pour écouter ou
modifier les données échangées. Cette attaque peut être effectuée en
exploitant une vulnérabilité dans le réseau ou en utilisant un logiciel
malveillant.
• DNS Cache Poisoning : Le DNS Cache Poisoning consiste à modifier les
enregistrements DNS d'un serveur pour rediriger les utilisateurs vers des
sites web malveillants. Cette attaque peut être utilisée pour voler des
informations personnelles ou pour propager des logiciels malveillants.
• ARP Poisoning : L'ARP Poisoning consiste à modifier la table ARP d'un
réseau pour rediriger le trafic vers un ordinateur malveillant. Cette attaque
peut être utilisée pour intercepter les communications entre deux parties
ou pour lancer une attaque MITM.

8. Evaluation des acquis

1. Qu'est-ce qu'un réseau informatique ?
a) Un ensemble d'ordinateurs connectés entre eux
b) Un ensemble de périphériques connectés à Internet
c) Un ensemble de serveurs connectés entre eux
2. Quel est le rôle principal d'un protocole de communication ?
a) De sécuriser les données échangées sur le réseau
b) De permettre aux périphériques de communiquer entre eux
c) De compresser les données échangées sur le réseau
3. Qu'est-ce qu'un certificat numérique ?
a) Un fichier contenant une clé publique et des informations sur son propriétaire
b) Un fichier contenant une clé privée et des informations sur son propriétaire
c) Un fichier contenant une clé symétrique et des informations sur son
propriétaire

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 107 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
4. Quel est le rôle d'une autorité de certification ?
a) De chiffrer les données échangées sur le réseau
b) De fournir des certificats numériques aux utilisateurs
c) De vérifier l'identité des utilisateurs sur le réseau
5. Qu'est-ce qu'un VPN ?
a) Un réseau privé virtuel permettant de sécuriser les connexions à distance
b) Un réseau public virtuel permettant de se connecter à Internet
c) Un réseau privé physique permettant de connecter des ordinateurs entre eux
6. Qu'est-ce qu'une attaque par déni de service (DoS) ?
a) Une attaque visant à submerger un réseau ou un serveur avec un trafic excessif
b) Une attaque visant à voler des informations personnelles sur un réseau
c) Une attaque visant à modifier les données échangées sur un réseau
7. Qu'est-ce qu'une attaque par usurpation d'adresse ?
a) Une attaque visant à se faire passer pour un autre utilisateur sur le réseau
b) Une attaque visant à modifier l'adresse IP d'un serveur
c) Une attaque visant à submerger un réseau avec des paquets malveillants
8. Qu'est-ce qu'une attaque de l'homme du milieu (MITM) ?
a) Une attaque visant à intercepter les communications entre deux parties sur un
réseau
b) Une attaque visant à modifier les données échangées sur un réseau
c) Une attaque visant à submerger un réseau avec des paquets malveillants
9. Qu'est-ce que le DNS Cache Poisoning ?
a) Une attaque visant à modifier les enregistrements DNS d'un serveur pour
rediriger les utilisateurs vers des sites web malveillants
b) Une attaque visant à submerger un serveur DNS avec des requêtes excessives
c) Une attaque visant à modifier l'adresse IP d'un serveur DNS
10. Qu'est-ce que l'ARP Poisoning ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 108 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Une attaque visant à modifier la table ARP d'un réseau pour rediriger le trafic
vers un ordinateur malveillant
b) Une attaque visant à submerger un réseau avec des paquets ARP malveillants
c) Une attaque visant à modifier l'adresse MAC d'un ordinateur sur le réseau
11. Qu'est-ce qu'un pare-feu ?
a) Un logiciel ou un matériel qui filtre le trafic réseau entrant et sortant
b) Un logiciel qui chiffre les données échangées sur le réseau
c) Un logiciel qui compresse les données échangées sur le réseau
12. Quel est le rôle principal d'un antivirus ?
a) De détecter et supprimer les logiciels malveillants sur un ordinateur
b) De chiffrer les données échangées sur le réseau
c) De filtrer le trafic réseau entrant et sortant
13. Qu'est-ce qu'une faille de sécurité ?
a) Une vulnérabilité dans un logiciel ou un système qui peut être exploitée par un
attaquant
b) Un logiciel malveillant qui se propage sur le réseau
14. Qu'est-ce qu'un logiciel espion ?
a) Un logiciel qui collecte des informations sur un utilisateur à son insu
b) Un logiciel qui chiffre les données échangées sur le réseau
c) Un logiciel qui compresse les données échangées sur le réseau
15. Qu'est-ce qu'un ransomware ?
a) Un logiciel malveillant qui chiffre les données d'un utilisateur et demande une
rançon pour les déchiffrer
b) Un logiciel malveillant qui supprime les données d'un utilisateur
c) Un logiciel malveillant qui collecte des informations sur un utilisateur à son
insu
16. Qu'est-ce qu'une attaque par force brute ?
a) Une attaque visant à deviner un mot de passe en essayant toutes les
combinaisons possibles

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 109 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) Une attaque visant à submerger un réseau avec des paquets malveillants
c) Une attaque visant à modifier les données échangées sur un réseau
17. Qu'est-ce qu'une attaque par phishing ?
a) Une attaque visant à collecter des informations personnelles en se faisant
passer pour une entité fiable
b) Une attaque visant à submerger un réseau avec des paquets malveillants
c) Une attaque visant à modifier les données échangées sur un réseau
18. Qu'est-ce qu'une attaque par injection SQL ?
a) Une attaque visant à exploiter une vulnérabilité dans une base de données en
injectant du code SQL malveillant
b) Une attaque visant à submerger un réseau avec des paquets malveillants
c) Une attaque visant à modifier les données échangées sur un réseau
19. Qu'est-ce qu'une attaque par déni de service distribué (DDoS) ?
a) Une attaque visant à submerger un réseau ou un serveur avec un trafic excessif
provenant de plusieurs sources différentes
b) Une attaque visant à collecter des informations personnelles en se faisant
passer pour une entité fiable
c) Une attaque visant à modifier les données échangées sur un réseau
20. Qu'est-ce qu'une politique de sécurité informatique ?
a) Un ensemble de règles et de procédures visant à protéger les systèmes
informatiques et les données d'une entreprise
b) Un ensemble de logiciels visant à protéger les systèmes informatiques et les
données d'une entreprise
c) Un ensemble de matériels visant à protéger les systèmes informatiques et les
données d'une entreprise
9. TP

TP1 : VPN et DMZ

Monter un réseau d'entreprise pour l'entreprise VISION avec une DMZ pour
sécuriser les serveurs web et mail.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 110 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Le réseau de l'entreprise VISION est composé de deux sites distants reliés par
une liaison VPN. Le site principal est composé d'un routeur, d'un commutateur,
d'un serveur web, d'un serveur mail et de postes clients. Le site secondaire est
composé d'un routeur et de postes clients. Les serveurs web et mail sont placés
dans une DMZ.
Simuler cette topologie sur Cisco Packet Tracer

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 111 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE VI
GESTION DES IDENTITES ET DES
ACCES

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 112 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
VI. Gestion des identités et des Accès

La gestion des identités et des accès est un élément essentiel de la sécurité

informatique. Elle permet de garantir que seules les personnes autorisées ont
accès aux ressources et aux données sensibles de l'organisation, tout en
empêchant les personnes malveillantes d'usurper l'identité d'utilisateurs autorisés.
En outre, elle permet de restreindre le champ d'accès des différentes entités de
l'organisation, en fonction de leurs rôles et de leurs responsabilités.
La gestion des identités et des accès est un processus complexe qui implique la
mise en place de politiques et de procédures rigoureuses pour l'authentification,
l'autorisation et la gestion des identités. Elle nécessite également l'utilisation de
technologies avancées pour la gestion des mots de passe, l'authentification à deux
facteurs, la gestion des accès privilégiés et la surveillance des activités des
utilisateurs.
Dans ce module, nous allons explorer les différentes méthodes d'authentification,
les modèles de contrôle d'accès, les interfaces contraintes. Nous verrons comment
ces concepts peuvent être appliqués pour renforcer la sécurité des systèmes
d'information et protéger les données sensibles de l'organisation contre les
menaces internes et externes.

1. Méthodes d’authentification
Avant d'explorer les différentes méthodes d'authentification, il est important de
comprendre le concept d'IAAA (Identification, Authentification, Autorisation et
Accountability). L'identification fait référence au fait qu'une entité prétend
posséder une identité, par exemple, un utilisateur qui se connecte à un site web
en utilisant un pseudonyme. L'authentification, quant à elle, se réfère au moyen
utilisé pour prouver l'identité prétendue. L'autorisation fait référence aux droits
et aux privilèges accordés à l'utilisateur une fois qu'il a été authentifié. Enfin,
l’Accountability garantit que les actions menées par l'utilisateur sont tracées et
peuvent être vérifiées.
Les méthodes d'authentification sont des moyens permettant de vérifier l'identité
d'une entité. Elles sont classées en trois grands groupes : quelque chose que tu
connais, quelque chose que tu possèdes et quelque chose que tu es.
La première méthode, "quelque chose que tu connais", se réfère à l'utilisation
d'un mot de passe, d'un code PIN ou d'une phrase secrète pour authentifier
l'utilisateur.
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 113 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
La deuxième méthode, "quelque chose que tu possèdes", se réfère à l'utilisation
d'un jeton physique, tel qu'une carte à puce ou un token matériel, pour authentifier
l'utilisateur.
La troisième méthode, "quelque chose que tu es", se réfère à l'utilisation de
caractéristiques biométriques, telles que les empreintes digitales, la
reconnaissance faciale ou vocale, pour authentifier l'utilisateur.
Enfin, il existe une quatrième méthode d'authentification appelée
"authentification multi-facteur", qui combine deux ou plusieurs des méthodes
précédentes pour renforcer la sécurité de l'authentification. Par exemple, une
authentification à deux facteurs peut exiger que l'utilisateur fournisse un mot de
passe et un code PIN envoyé sur son téléphone portable pour accéder à un
système.

2. Implémentation des contrôles d’accès

Les contrôles d'accès peuvent être implémentés à différents niveaux, tels que les
contrôles d'accès physiques, logiques et administratifs.
Le choix des contrôles d'accès à implémenter dépend du niveau technologique et
financier de l'entreprise. Par exemple, les contrôles d'accès physiques nécessitent
des équipements coûteux, tels que des caméras de surveillance, des serrures
électroniques et des lecteurs de cartes d'accès. Il peut donc être difficile pour les
petites entreprises de mettre en œuvre ces contrôles.
C'est pourquoi l'expert en sécurité doit trouver la juste balance entre les exigences
de sécurité et le budget mis à sa disposition pour implémenter les contrôles
d'accès. Il doit évaluer les risques et les menaces auxquels l'entreprise est
confrontée, ainsi que les coûts et les avantages des différents types de contrôles
d'accès, pour déterminer la meilleure approche à adopter.
Il convient également de noter que de plus en plus d'entreprises utilisent des
technologies de gestion des identités et des accès, telles que l'authentification
unique (Single Sign-On ou SSO), pour simplifier la gestion des mots de passe et
renforcer la sécurité. L'utilisation de ces technologies peut aider à réduire les
coûts et à améliorer l'expérience utilisateur, tout en renforçant la sécurité.

3. Modèles des contrôles d’accès

Déjà vu :)

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 114 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

4. Evaluation des acquis

1. Qu'est-ce que l'IAAA ?
a) Un protocole de sécurité réseau
b) Un modèle de contrôle d'accès
c) Un acronyme pour Identification, Authentification, Autorisation et
Responsabilité
d) Un algorithme de chiffrement
2. Qu'est-ce que l'authentification à deux facteurs ?
a) Une méthode d'authentification qui utilise deux mots de passe différents
b) Une méthode d'authentification qui utilise un mot de passe et une empreinte
digitale
c) Une méthode d'authentification qui utilise un mot de passe et un code envoyé
sur un téléphone portable
d) Une méthode d'authentification qui utilise deux cartes à puce différentes
3. Quels sont les trois grands groupes de méthodes d'authentification ?
a) Quelque chose que tu connais, quelque chose que tu possèdes, quelque chose
que tu es
b) Quelque chose que tu as appris, quelque chose que tu as fait, quelque chose
que tu as vu
c) Quelque chose que tu as entendu, quelque chose que tu as touché, quelque
chose que tu as senti
d) Quelque chose que tu as écrit, quelque chose que tu as lu, quelque chose que
tu as pensé
4. Qu'est-ce que l'autorisation ?
a) Le processus de vérification de l'identité d'une entité
b) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
c) Le processus de traçage des actions menées par un utilisateur
d) Le processus d'identification d'une entité

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 115 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
5. Qu'est-ce que la responsabilité ?
a) Le processus de vérification de l'identité d'une entité
b) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
c) Le processus de traçage des actions menées par un utilisateur
d) Le processus d'identification d'une entité
6. Quels sont les quatre types de contrôles d'accès ?
a) Physiques, logiques, administratifs, techniques
b) Préventifs, détectifs, correctifs, récupératifs
c) Discrétionnaires, obligatoires, basés sur les rôles, basés sur les attributs
d) D'accès, d'identification, d'authentification, d'autorisation
7. Qu'est-ce que le contrôle d'accès discretionnaire ?
a) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction du
rôle de l'utilisateur
b) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction des
attributs de l'utilisateur
c) Un modèle de contrôle d'accès dans lequel l'accès est accordé à la discrétion
du propriétaire de la ressource
d) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction des
besoins de l'utilisateur
8. Qu'est-ce que le contrôle d'accès obligatoire ?
a) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction du
rôle de l'utilisateur
b) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction des
attributs de l'utilisateur
c) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction des
besoins de l'utilisateur
d) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction du
niveau de sécurité de la ressource
9. Qu'est-ce que le contrôle d'accès basé sur les rôles ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 116 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction du
rôle de l'utilisateur
b) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction
10. Qu'est-ce que le contrôle d'accès basé sur les attributs ?
a) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction du
rôle de l'utilisateur
b) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction des
attributs de l'utilisateur
c) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction des
besoins de l'utilisateur
d) Un modèle de contrôle d'accès dans lequel l'accès est accordé en fonction du
niveau de sécurité de la ressource
11. Qu'est-ce que l'authentification unique (Single Sign-On ou SSO) ?
a) Une méthode d'authentification qui utilise deux mots de passe différents
b) Une méthode d'authentification qui utilise un mot de passe et une empreinte
digitale
c) Une méthode d'authentification qui utilise un mot de passe et un code envoyé
sur un téléphone portable
d) Une technologie de gestion des identités et des accès qui permet aux
utilisateurs de s'authentifier une seule fois pour accéder à plusieurs systèmes
12. Quels sont les avantages de l'authentification unique (Single Sign-On ou SSO)
?
a) Elle renforce la sécurité en exigeant plusieurs facteurs d'authentification
b) Elle simplifie la gestion des mots de passe pour les utilisateurs
c) Elle réduit les coûts en éliminant le besoin de plusieurs systèmes
d'authentification
d) Elle améliore l'expérience utilisateur en réduisant le nombre de connexions
nécessaires
13. Qu'est-ce que le provisionnement des identités ?
a) Le processus de création, de modification et de suppression des comptes
utilisateur

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 117 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) Le processus de vérification de l'identité d'une entité
c) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
d) Le processus de traçage des actions menées par un utilisateur
14. Qu'est-ce que la déprovisionnement des identités ?
a) Le processus de création, de modification et de suppression des comptes
utilisateur
b) Le processus de vérification de l'identité d'une entité
c) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
d) Le processus de suppression des comptes utilisateur qui ne sont plus
nécessaires
15. Qu'est-ce que la fédération des identités ?
a) Une technologie de gestion des identités et des accès qui permet aux utilisateurs
de s'authentifier une seule fois pour accéder à plusieurs systèmes
b) Une méthode d'authentification qui utilise deux mots de passe différents
c) Une méthode d'authentification qui utilise un mot de passe et une empreinte
digitale
d) Une méthode d'authentification qui utilise un mot de passe et un code envoyé
sur un téléphone portable
16. Qu'est-ce que la gestion des accès privilégiés ?
a) Le processus de création, de modification et de suppression des comptes
utilisateur
b) Le processus de vérification de l'identité d'une entité
c) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
d) Le processus de gestion des comptes utilisateur ayant des droits d'accès élevés
17. Qu'est-ce que la revue des accès ?
a) Le processus de création, de modification et de suppression des comptes
utilisateur
b) Le processus de vérification de l'identité d'une entité
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 118 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
c) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
d) Le processus de vérification régulière des droits d'accès accordés aux
utilisateurs
18. Qu'est-ce que la séparation des tâches ?
a) Une méthode d'authentification qui utilise deux mots de passe différents
b) Une méthode d'authentification qui utilise un mot de passe et une empreinte
digitale
c) Une méthode d'authentification qui utilise un mot de passe et un code envoyé
sur un téléphone portable
d) Une pratique de sécurité qui consiste à répartir les tâches sensibles entre
plusieurs utilisateurs pour prévenir la fraude et les erreurs
19. Qu'est-ce que le principe du moindre privilège ?
a) Une méthode d'authentification qui utilise deux mots de passe différents
b) Une méthode d'authentification qui utilise un mot de passe et une empreinte
digitale
c) Une méthode d'authentification qui utilise un mot de passe et un code envoyé
sur un téléphone portable
d) Une pratique de sécurité qui consiste à n'accorder aux utilisateurs que les droits
d'accès dont ils ont besoin pour accomplir leur travail
20. Qu'est-ce que la gestion des mots de passe ?
a) Le processus de création, de modification et de suppression des comptes
utilisateur
b) Le processus de vérification de l'identité d'une entité
c) Le processus de détermination des droits et des privilèges accordés à un
utilisateur
d) Le processus de gestion des mots de passe des utilisateurs pour assurer leur
sécurité et leur confidentialité.
5. TP
CyberSoldier est un cabinet de cybersécurité spécialisé dans la protection des
entreprises contre les menaces en ligne. Avec l'augmentation constante des

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 119 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
cyberattaques, il est essentiel pour les entreprises de protéger leurs données et
leurs systèmes contre les accès non autorisés. C'est pourquoi CyberSoldier offre
une gamme de services de sécurité informatique, allant de la formation en sécurité
informatique à la gestion des incidents de sécurité.
Le site web de CyberSoldier est une vitrine importante pour l'entreprise, car il
permet aux clients potentiels de découvrir les services offerts et de contacter
l'entreprise pour obtenir de l'aide. Cependant, le site web est également une cible
attrayante pour les pirates informatiques qui cherchent à accéder aux données
sensibles de l'entreprise ou à perturber ses activités. C'est pourquoi il est essentiel
pour CyberSoldier de protéger son site web avec une page de login sécurisée.
Objectif :
Votre mission est de créer une page de login sécurisée pour le site web de
CyberSoldier avec une authentification à double facteur.
Consignes :
- Créez une page de login HTML/CSS avec des champs pour le
nom d'utilisateur et le mot de passe. La page doit être visuellement
attrayante et professionnelle.

- Ajoutez une fonctionnalité d'authentification à double facteur en

utilisant l'envoi d'un code de vérification par e-mail. Lorsqu'un
utilisateur entre son nom d'utilisateur et son mot de passe, un code
de vérification doit être envoyé à l'adresse e-mail associée à son
compte. L'utilisateur doit entrer ce code sur la page de login pour
terminer le processus d'authentification.

- Utilisez un langage de programmation de votre choix (par

exemple, PHP, Python ou Ruby) pour implémenter la logique de la
page de login et de l'envoi de l'e-mail de vérification.

- Assurez-vous que la page de login est sécurisée en utilisant des

pratiques de sécurité appropriées, telles que le hachage des mots
de passe et la protection contre les attaques par injection SQL.

- Testez la page de login pour vous assurer qu'elle fonctionne

correctement et qu'elle est sécurisée.
Tips :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 120 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
- Utilisez une bibliothèque d'envoi d'e-mails pour simplifier l'envoi
de l'e-mail de vérification.
- Utilisez des frameworks de sécurité pour protéger la page de login
contre les attaques courantes.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 121 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE VII
EVALUATIONS ET TESTS DE LA
SECURITE

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 122 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

VII. Evaluation et tests de la sécurité

Pour faire face aux menaces, il est essentiel de mettre en place des mesures de
sécurité efficaces pour protéger les systèmes d'information. Cependant, il est tout
aussi important de comprendre que les menaces évoluent constamment et que les
mesures de sécurité doivent être régulièrement testées et évaluées pour s'assurer
qu'elles sont toujours efficaces et pertinentes.

1. L’importance des tests de sécurité

Le pentesting est une pratique qui peut paraître risquée pour une entreprise
puisqu'elle consiste à attaquer son SI. Cependant, ses avantages sont indéniables
et constituent de bonnes raisons d'y recourir.
- Corriger les failles
Les cyberpirates ne cessent de perfectionner leurs techniques d'attaques. Il est
donc difficile pour une entreprise d'être certaine de la sécurité de son système de
façon définitive. Un test de pénétration effectué de temps en temps permettra ainsi
de mettre la sécurité du SI à jour et de renforcer les protections. La détection des
vulnérabilités de l'entreprise sur le plan informatique permet de les corriger pour
faire face au mieux à des attaques. La simulation des pénétrations via le pentesting
est utile pour avoir une idée des effets d'une intrusion malveillante et des solutions
pour l'éviter.
- Protéger son entreprise des attaques informatiques
Les attaques via des malwares n'épargnent aucune entreprise. Même des
organisations de grande importance ayant un système de sécurité performant en
font parfois les frais. Par exemple, en janvier 2015, des pirates ont détourné les
comptes Twitter et YouTube du commandement militaire américain au Moyen-
Orient. De même, en mai 2017, le monde informatique a été secoué par l'attaque
d'environ 300 000 ordinateurs dans 150 pays par WannaCry, un rançongiciel
(logiciel malveillant utilisé pour rançonner). Parmi les victimes, il y avait une
usine de Renault, la multinationale de télécommunications espagnole Telefónica
et l'ensemble du système de santé britannique.
Pour contrer les cyberattaques, il faut effectuer une veille constante. Dans le but
d'empêcher tout accès frauduleux à leurs données, les sociétés intègrent donc le
pentesting à leur stratégie globale de sécurité. En France, les banques telles que
la Société Générale et le Crédit Agricole font partie des clients des professionnels
des tests d'intrusion. Il y a également les compagnies d'assurance, les opérateurs
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 123 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
de télécommunications, les fournisseurs d'énergie, les sociétés de construction,
les entreprises de l'industrie cosmétique, etc. Le pentesting est un moyen de
prévention des attaques informatiques, ce qui permet d'éviter leurs fâcheuses
conséquences.
- Eviter les pertes financières :
Un test de pénétration représente un certain coût qui dépend essentiellement de
la taille de l'infrastructure ciblée. Cependant, ce coût est négligeable par rapport
aux pertes financières que peut induire une intrusion malveillante. D'après une
étude d'IBM, une cyberattaque coûte en moyenne 1,42 million de dollars (soit
1,19 million d'euros) à l'entreprise victime. Pour corriger les défaillances après
une attaque informatique, il faut dépenser en moyenne 13 millions de dollars
selon le géant de l'informatique américain.
Par ailleurs, de nombreuses entreprises comme Wood Ranch Medical ont dû
cesser leur activité suite à des cyberattaques. Les pentests constituent un
investissement rentable sur le court et le long terme pour une entreprise.
Particulièrement utiles, vous ne ferez plus face à de lourdes dépenses en cas
d'attaque. C'est le meilleur moyen de sécuriser le SI de son entreprise à moindre
coût.
- Se conformer aux normes :
Les Etats et organismes internationaux conscients de la menace des cyber-
attaques obligent aux entreprises de garantir la sécurité de leurs SI dans le but de
réduire les risques de fuite de données personnelles. Si une entreprise est victime
d'un hacking, elle doit faire des déclarations sur la perte de données personnelles
des clients, partenaires ou collaborateurs.
En cas de tentatives d'attaque, les entreprises doivent mener de toute urgence des
actions pour renforcer la sécurité de leurs SI. Le pentesting se présente comme la
solution pour respecter les normes en matière de protection des données
personnelles. Consistant à simuler une attaque, cette technique permet à toute
entreprise de prendre les décisions qui s'imposent afin de renforcer la sécurité de
son infrastructure.
2. Type de test de sécurité
Les types de pentesting se différencient par les méthodes et les objectifs qu'ils
poursuivent.
- Pentesting en boîte noire (Black Box)

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 124 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Le pentesting en boîte noire consiste à tester un système sans aucune
connaissance préalable de celui-ci. Les pentesters ont pour mission de découvrir
les vulnérabilités et les failles du système en partant de zéro, comme un pirate
informatique. Cette méthode permet de simuler une attaque externe et de tester la
capacité de l'entreprise à détecter et à contrer une intrusion.
- Pentesting en boîte blanche (White Box)
Le pentesting en boîte blanche se fait avec une connaissance préalable du système
à tester. Les pentesters ont accès aux informations sur l'architecture, le code
source et la configuration du système. Cette méthode permet de tester la sécurité
interne du système et de découvrir les vulnérabilités qui peuvent être exploitées
par des pirates informatiques internes.
- Pentesting en boîte grise (Grey Box)
Le pentesting en boîte grise est une combinaison des deux méthodes précédentes.
Les pentesters ont une connaissance partielle du système à tester, ils ont accès à
certaines informations mais pas à toutes. Cette méthode permet de tester la
sécurité de manière plus réaliste, en simulant une attaque interne ou externe.

3. Les étapes d’un test de sécurité

a) L’autorisation et l’établissement du périmètre

La première étape d'un test d'intrusion consiste à planifier et à préparer le test.
Cela implique de définir l'étendue du test, les objectifs, les systèmes cibles et les
méthodes d'attaque à utiliser. Cette étape implique également d'obtenir
l'autorisation du propriétaire du système et de définir les règles d'engagement.
b) La reconnaissance
La première étape d'un pentesting consiste à collecter des données sur la cible.
En fonction de la nature du test, les sources d'informations peuvent varier. Selon
le cas, les sources externes accessibles à tous les utilisateurs (moteurs de
recherche, réseaux sociaux, Domain Name Service) peuvent être utilisées.
L'entreprise soumise au test peut elle-même fournir des informations au pentester.
Plusieurs outils peuvent être utilisés :
• Informations générales :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 125 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
 Google : plus grand moteur de recherche internet, une vraie
mine d’informations dans laquelle tirer différentes informations
relatives à l’entreprise. De plus grâce aux opérateurs google. Par
exemple la requête : site:polytechnique.cm filetype:pdf permet de
retrouver tous les documents pdf disponible sur le site
www.polytechnique.cm

 Hunter.io : site web en ligne permettant de retrouver toutes

les addresses mail adossés à une entreprise. Par exemple grâce à
cet outil on peut avoir tous les mails liés à l’entreprise (site web)
de l’ENSPY
 Médias sociaux (linkedIn, Facebook, Twitter) : les comptes
de l’entreprise ou de leurs employés regorgent de multitudes
d’informations qui peuvent se révéler plus tard être des
vulnérabilités.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 126 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

 theHarvester : outil installé par défaut sur kali, utilisé en

ligne de commandes , il permet d’avoir les comptes sur les sites
de médias sociaux les plus communs à partir d’un pseudo ou d’un
mail

• Pour valider sa cible :

 Whois : est un service de recherche fourni par les registres

Internet, par exemple les Registres Internet régionaux ou bien les
registres de noms de domaine permettant d'obtenir des
informations sur une adresse IP ou un nom de domaine

 Nslookup : est un programme informatique de recherche

d'information dans le Domain Name System, qui associe nom de
domaine et adresses IP. nslookup permet donc d'interroger les
serveurs DNS pour obtenir les informations définies pour un
domaine déterminé

 Dnsrecon : Outils en ligne permettant de faire de la

reconnaissance DNS.

• Trouver les sous-domaines et sous-dossiers :

 dir buster : disponible en ligne de commande ou version
graphique , il permet de retrouver les dossiers et sous-dossiers
d’un site

 Sublist3r : il est pareil que dirbuster mais disponible

uniquement en cli

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 127 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
 owasp amass : cet outil à la particularité d’avoir été
développé par une très grande communauté , notamment
l’OWASP

• Les technologies utilisées :

 Wappalyzer : extension firefox qui permet à chaque fois que l’on
visite un site de lister tous les langages de programmation utilisés, les CMS
etc.

 Netcat : outil créé à la fin des années 80 par un certain Hobbit,

permet de créer arbitrairement des sockets réseaux, utilisant les protocoles
TCP, UDP ou UNIX. L'argument -z de cette commande permet de faire un
scan de port

 Nmap : est un scanner de ports libre créé par Fyodor et distribué

par Insecure.org. Il est conçu pour détecter les ports ouverts, identifier les
services hébergés et obtenir des informations sur le système d'exploitation
d'un ordinateur distant

c) Scanning et énumération
Cette étape d'effectuer un inventaire des actifs du système d'information ciblé. Au
cours de cette phase, le pentester détermine les ports ouverts et identifie les
services publiés. La cartographie permet de déterminer et de se focaliser sur les
éléments critiques. Parmi les outils les plus célèbres utilisés dans cette étape, on
peut citer :

➢ nmap
➢ netdiscover : c’est un outil de reconnaissance ARP actif/passif,
initialement développé pour obtenir des informations sur les réseaux sans fil sans
serveur DHCP dans des scénarios de wardriving. Il peut également être utilisé sur
des réseaux commutés. Construit sur libnet et libpcap, il peut détecter
passivement les hôtes en ligne ou les rechercher en envoyant des requêtes ARP.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 128 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
➢ Arpscan : est un outil de balayage de réseau qui utilise le protocole ARP
pour découvrir et identifier les hôtes IPv4 sur le réseau local. Il est disponible
pour Linux, BSD, macOS et Solaris sous la licence GPLv3.
➢ Solarwinds : propose Network Device Scanner avec Network
Performance Monitor pour surveiller, découvrir, cartographier et analyser les
périphériques du réseau. L'outil de découverte du réseau peut être exécuté une
seule fois ou programmé pour des découvertes régulières qui aideront à identifier
les périphériques nouvellement ajoutés.
➢ Angry IP scanner : un logiciel libre de balayage de port utilisé pour
rechercher la présence de périphérique informatique connecté à un réseau TCP/IP.
➢ Advance IP Scanner : est un outil pour obtenir de différentes données des
PC connectés au réseau local en question de quelques secondes avec la possibilité
de s'intégrer avec d'autres outils de gestion de LAN, comme Remote Admin.
➢ Qualys Free Scan : pas de logiciel à installer, solution entièrement web
➢ Spyse : un moteur de recherche qui peut être utilisé pour identifier les
ressources Internet et effectuer facilement des reconnaissances externes. Les
résultats sont fournis rapidement.
d) La recherche des vulnérabilités

La troisième étape d'un projet de pentesting consiste à analyser les faiblesses des
systèmes, sites et applications à partir des données recueillies. Le but est de
trouver les vulnérabilités du SI. Le professionnel chargé du pentesting choisit
l'outil à utiliser en fonction de la cible. Après détection des vulnérabilités, il est
recommandé de les analyser de façon manuelle. Les outils à utiliser durant cette
étape sont :
 Exploit DB : Il s'agit de l'une des bases de données d'exploits gratuites les
plus populaires, connue sous le nom de "Exploit DB". Ce projet d'Offensive
Security vise à constituer une collection d'exploits publics et de logiciels
vulnérables disponibles à des fins de recherche de vulnérabilités et de tests de
pénétration.

 SearchSploit : est inclus dans kali, et est un outil de recherche en ligne de

commande pour Exploit-DB qui permet également d’emporter une copie avec
soi. Il peut effectuer des recherches détaillées hors ligne via la copie extraite
localement du référentiel.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 129 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

 Rapid 7 : Les créateurs de Metasploit sont réputés pour la qualité de leurs

produits d'infosec, et il en va de même pour la base de données de vulnérabilités
et d'exploits de leur site web. Rapid7 offre un moyen rapide et pratique de
rechercher des vulnérabilités et des exploits (modules), ce qui vous permet
d'explorer les résultats pour toute requête donnée

 CSX Security : Cette base de données offre un accès direct aux derniers
exploits à partir d'une interface web, où vous pourrez filtrer et trouver des exploits
pour des vulnérabilités locales ou distantes, obtenir le niveau de risque et d'autres
détails, tels que l'auteur et la date de publication.

 Vulnerability Lab: offre l'accès à une vaste base de données de

vulnérabilités comprenant des exploits et des PoC à des fins de recherche. Elle
comprend des informations complètes sur la vulnérabilité, telles que la date, le
score de risque, la version affectée, le type de vulnérabilité (distante ou locale),
l'auteur, le prix estimé, la classe de vulnérabilité et bien plus encore.

 0day.today : Également connu sous le nom de Inj3ct0r, 0day.today prétend

être la plus grande base de données d'exploits au monde, un moyen complet de
découvrir, d'acheter et de vendre des exploits anonymement à n'importe qui en
utilisant des monnaies numériques telles que Bitcoin, Litecoin et Ethereum. Les
types d'exploits que vous pouvez trouver dans cette base de données comprennent
les DoS locaux et distants, les PoC, les shellcodes et autres.

 Nikto : est un scanner de vulnérabilité en ligne de commande logiciel

gratuit qui analyse les serveurs Web à la recherche de fichiers/CGI dangereux, de
logiciels serveur obsolètes et d'autres problèmes. Il effectue des vérifications
génériques et spécifiques au type de serveur

 CVE : Common Vulnerabilities and Exposures ou CVE est un dictionnaire

des informations publiques relatives aux vulnérabilités de sécurité. Le
dictionnaire est maintenu par l'organisme MITRE, soutenu par le département de
la Sécurité intérieure des États-Unis

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 130 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

e) L’exploitation
Les étapes précédentes permettent au pentester de baliser le terrain pour opérer
l'intrusion proprement dite. L'auditeur essaie une pénétration du système à travers
chaque vulnérabilité détectée. Il adapte les exploits ou POC (Proof Of Concept)
à l'infrastructure de l'entreprise cliente. Les outils célèbres pour automatiser cette
étape sont :

• BurpSuite : Il s'agit d'un proxy web que l'on trouve dans Kali Linux. Il vous
permet d'intercepter le trafic entre votre ordinateur et le serveur web. À l'aide
de ce proxy, vous pouvez modifier les valeurs soumises au serveur web, en
envoyant des caractères malveillants ou des entrées inattendues, afin de
casser l'application web.

• OWASP ZAP : est une alternative à BurpSuite. Il s'agit d'une alternative à

BurpSuite, que l'on trouve également dans Kali Linux. Il peut fonctionner
correctement dans des environnements où BurpSuite ne le peut pas. Lorsqu'il
s'agit de choisir un outil de proxy, c'est une question de préférence.

• MIMIKATZ : Ce cadre d'outils est fourni avec Kali Linux. Il contient divers
modules, notamment des modules d'analyse et d'exploitation. Le module
d'exploitation contient des milliers d'exploits fonctionnels contre les
systèmes d'exploitation.

• NMAP : contient différents scripts qui peuvent être utilisés pour attaquer les
systèmes d'exploitation. Il est fourni avec Kali Linux et permet d'utiliser ces
scripts pour identifier rapidement l'existence d'une vulnérabilité affectant un
système d'exploitation.

• SQL MAP : Il s'agit de l'outil le plus populaire qui permet aux pirates
d'effectuer des attaques par injection SQL contre des bases de données
dorsales. Il est préinstallé dans Kali Linux et fonctionne en recherchant
diverses charges utiles et en exploitant différents points d'injection que vous
spécifiez.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 131 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• Runtime Mobile Security : outil qui vous permet de manipuler les
applications Android et iOS au moment de l'exécution. Il vous permet de
vider les classes chargées et les méthodes relatives, de tout accrocher, de
tracer les arguments des méthodes et les valeurs de retour, de charger des
scripts personnalisés et d'effectuer bien d'autres choses.

f) L’élévation des privilèges

Suite à l'exploitation des défaillances, le professionnel a le privilège de se
substituer à l'administrateur du système. Il peut ainsi effectuer toutes sortes de
tâches qui sont habituellement du ressort de l'administrateur. Il a, par exemple, la
possibilité d'accéder à des dossiers et données sensibles. Pour une opération de
redteam ou de purpleteam, il doit maintenir ses privilèges et en obtenir d'autres.
Dans ce cadre, il doit se montrer prudent et effacer, après la tâche, toute trace de
son passage. Pour se reconnecter facilement en tant qu'administrateur sans être
remarqué, il est nécessaire de passer par une porte dérobée (backdoor). Il
parviendra ainsi à créer des accès à l'équipe du test de pénétration.

Parmi les méthodes communes utilisées dans cette étape, on peut lister :
- Injection de Processus : Travailler contre les processus faibles est une
autre méthode que j'utilise pour l'escalade des privilèges. Un outil que j'ai vu
utilisé dans les tests de pénétration est Process Injector. Cet outil permet
d'énumérer tous les processus en cours d'exécution sur un système ainsi que le
compte qui exécute le processus

- Linux User Password Enumeration : Une attaque basique d'escalade des

privilèges, courante sous Linux, est menée en énumérant les comptes
d'utilisateurs sur la machine. Cette attaque nécessite que l'attaquant accède à
l'interpréteur de commandes du système. Cela se fait généralement par le biais de
serveurs ftp mal configurés.

- Android et MetaSploit : Dans le cas des appareils Android, Metasploit

peut être utilisé contre les appareils Android rootés. Une fois qu'un appareil
Android est rooté, un binaire SU devient disponible et permet d'exécuter des
commandes en tant que root. L'exemple ci-dessous montre comment cet exploit
peut être exécuté pour lancer "show options" et "show advanced" en tant que root.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 132 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
- Root Helper : est généralement utilisé pour les tests de pénétration,
l'escalade des privilèges ou l'évaluation de la sécurité. Les utilisateurs cibles de
cet outil sont les pentesters et les professionnels de la sécurité.

g) Le nettoyage
Un travail de nettoyage doit être fait après un pentesting afin de rendre au client
le SI dans son état d'origine. Le pentester doit effacer les preuves de son action
sur le SI. Il ne s'agit pas des traces dans les journaux de log, mais plutôt des portes
dérobées, codes encoquillés (webshell) et comptes de privilèges.
h) Le reporting
La dernière étape d'un pentesting est la présentation d'un rapport détaillé par le
professionnel au client. Le document écrit retrace la méthodologie utilisée, les
failles du SI découvertes ainsi qu'un plan d'action. Les recommandations
indiquées dans le plan d'action doivent être accompagnées d'un planning. Le plan
d'action doit tenir compte du retour sur investissement sur le plan sécuritaire. Pour
cela, le pentester évalue l'ampleur de la vulnérabilité et le coût de la solution pour
l'éviter. L'application de la méthodologie s'apprend lors d'une formation
pentesting donnée par des organismes spécialistes.
4. Evaluation des acquis
1. Pourquoi est-il important de réaliser des tests de sécurité réguliers ?
a) Pour s'assurer que les systèmes sont toujours vulnérables
b) Pour améliorer la sécurité des systèmes d'information
c) Pour prouver que les mesures de sécurité sont inefficaces
d) Pour satisfaire aux exigences réglementaires
2. Quels sont les types de tests de sécurité les plus courants ?
a) Test de pénétration, test d'intrusion et test de vulnérabilité
b) Test fonctionnel, test de performance et test d'acceptation
c) Test unitaire, test d'intégration et test de système
d) Test de charge, test de stress et test d'endurance
3. Quelle est la première étape d'un test de sécurité ?
a) L'autorisation et l'établissement du périmètre

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 133 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) La reconnaissance
c) Scanning et énumération
d) La recherche des vulnérabilités
4. Qu'est-ce que la reconnaissance dans le contexte d'un test de sécurité ?
a) L'identification des vulnérabilités d'un système
b) L'identification des cibles potentielles d'un test de sécurité
c) L'identification des mesures de sécurité mises en place
d) L'identification des utilisateurs autorisés d'un système
5. Qu'est-ce que le scanning dans le contexte d'un test de sécurité ?
a) L'analyse des ports ouverts et des services réseau
b) L'analyse des vulnérabilités d'un système
c) L'analyse des journaux d'événements système
d) L'analyse des configurations réseau
6. Qu'est-ce que l'énumération dans le contexte d'un test de sécurité ?
a) L'identification des utilisateurs autorisés d'un système
b) L'identification des vulnérabilités d'un système
c) L'identification des mesures de sécurité mises en place
d) L'identification des cibles potentielles d'un test de sécurité
7. Qu'est-ce que la recherche des vulnérabilités dans le contexte d'un test de
sécurité ?
a) L'identification des ports ouverts et des services réseau
b) L'identification des utilisateurs autorisés d'un système
c) L'identification des failles de sécurité d'un système
d) L'identification des configurations réseau
8. Qu'est-ce que l'exploitation dans le contexte d'un test de sécurité ?
a) L'élévation des privilèges d'un utilisateur
b) L'identification des failles de sécurité d'un système
c) L'utilisation d'une faille de sécurité pour accéder à un système

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 134 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
d) L'identification des mesures de sécurité mises en place
9. Qu'est-ce que l'élévation des privilèges dans le contexte d'un test de sécurité ?
a) L'identification des utilisateurs autorisés d'un système
b) L'utilisation d'une faille de sécurité pour accéder à un système
c) L'augmentation des droits d'accès d'un utilisateur
d) L'identification des configurations réseau
10. Quels sont les risques associés à un test de sécurité ?
a) Les dommages causés aux systèmes testés
b) La divulgation d'informations confidentielles
c) Les interruptions de service
d) Toutes les réponses sont correctes
11. Quels sont les avantages d'un test de vulnérabilité ?
a) L'identification des failles de sécurité d'un système
b) La vérification de l'efficacité des mesures de sécurité mises en place
c) La satisfaction aux exigences réglementaires
d. Toutes les réponses sont correctes
12. Quels sont les avantages d'un test d'intrusion ?
a) L'identification des failles de sécurité d'un système
b) La vérification de l'efficacité des mesures de sécurité mises en place
c) La simulation d'une attaque réelle
d. Toutes les réponses sont correctes
13. Quels sont les avantages d'un test de pénétration ?
a) L'identification des failles de sécurité d'un système
b) La vérification de l'efficacité des mesures de sécurité mises en place
c) La simulation d'une attaque réelle
d. Toutes les réponses sont correctes
14. Quels sont les outils couramment utilisés pour réaliser des tests de sécurité ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 135 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Nessus, Nmap, Metasploit
b) Wireshark, Tcpdump, Etherape
c) JMeter, LoadRunner, WebLOAD
d) Selenium, Appium, TestComplete
15. Quelles sont les bonnes pratiques à suivre lors de la réalisation d'un test de
sécurité ?
a) Obtenir l'autorisation préalable du propriétaire du système
b) Respecter les lois et les réglementations en vigueur
c) Documenter les résultats du test
d) Toutes les réponses sont correctes
16. Quels sont les types de tests de sécurité qui peuvent être réalisés à distance ?
a) Test de vulnérabilité, test d'intrusion, test de pénétration
b) Test fonctionnel, test de performance, test d'acceptation
c) Test unitaire, test d'intégration, test de système
d) Test de charge, test de stress, test d'endurance
17. Quels sont les types de tests de sécurité qui nécessitent un accès physique au
système ?
a) Test de vulnérabilité, test d'intrusion, test de pénétration
b) Test fonctionnel, test de performance, test d'acceptation
c) Test unitaire, test d'intégration, test de système
d) Test de charge, test de stress, test d'endurance
18. Quelle est la différence entre un test de vulnérabilité et un test d'intrusion ?
a) Un test de vulnérabilité identifie les failles de sécurité d'un système, tandis
qu'un test d'intrusion simule une attaque réelle
b) Un test de vulnérabilité simule une attaque réelle, tandis qu'un test d'intrusion
identifie les failles de sécurité d'un système
c) Un test de vulnérabilité et un test d'intrusion identifient les mêmes failles de
sécurité d'un système
d) Un test de vulnérabilité et un test d'intrusion sont des termes synonymes

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 136 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
19. Quelle est la différence entre un test de pénétration et un test d'intrusion ?
a) Un test de pénétration identifie les failles de sécurité d'un système, tandis
qu'un test d'intrusion simule une attaque réelle
b) Un test de pénétration simule une attaque réelle, tandis qu'un test d'intrusion
identifie les failles de sécurité d'un système
c) Un test de pénétration et un test d'intrusion identifient les mêmes failles de
sécurité d'un système
d) Un test de pénétration et un test d'intrusion sont des termes synonymes
20. Quel est le rôle d'un test de sécurité dans le cycle de vie du développement
logiciel ?
a) Le test de sécurité est réalisé avant la phase de conception du logiciel
b) Le test de sécurité est réalisé après la phase de développement du logiciel
c) Le test de sécurité est réalisé pendant la phase de test du logiciel
d) Le test de sécurité est réalisé pendant la phase de maintenance du logiciel.
5. TP
Test d’intrusion dans un environnement virtuel

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 137 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE VIII
OPERATIONS DE SECURITE

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 138 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
VIII. Opérations de Sécurité
La sécurité informatique est un enjeu crucial pour les entreprises de toutes tailles.
Elle est constituée d'un ensemble d'activités quotidiennes qui peuvent être
regroupées sous l'appellation d'opérations de sécurité. Ces opérations ont pour
objectif de protéger les actifs informatiques de l'entreprise contre les menaces et
les risques de sécurité, qu'ils soient internes ou externes. Dans cette section, nous
allons présenter les opérations de sécurité les plus importantes et expliquer
comment elles peuvent être mises en place pour assurer une sécurité optimale de
l'entreprise. Nous verrons également comment ces opérations peuvent contribuer
à la conformité réglementaire et à la gestion des risques.
1. Sécurité Administrative
La sécurité administrative est un élément clé de la sécurité informatique dans une
entreprise. Elle permet de définir les règles et les procédures de sécurité, ainsi que
les responsabilités de chacun en matière de sécurité informatique. Voici les
principaux aspects de la sécurité administrative :
a) La gouvernance de la sécurité
La gouvernance de la sécurité est le processus de gestion et de supervision de la
sécurité informatique dans une entreprise. Elle permet de définir les objectifs de
sécurité, les rôles et les responsabilités de chacun, ainsi que les processus de prise
de décision en matière de sécurité. La gouvernance de la sécurité est essentielle
pour garantir que la sécurité informatique est alignée sur les objectifs stratégiques
de l'entreprise.
b) Les politiques de sécurité
Les politiques de sécurité sont des documents qui décrivent les règles et les
procédures de sécurité dans une entreprise. Elles doivent être validées par les
autorités dirigeantes pour garantir leur légitimité et leur application. Les
politiques de sécurité doivent être claires, concises et faciles à comprendre pour
tous les employés. Elles doivent également être régulièrement mises à jour pour
tenir compte des évolutions de la menace et des risques de sécurité.
c) La sensibilisation à la sécurité informatique
La sensibilisation à la sécurité informatique est un élément clé de la sécurité
administrative. Elle permet de sensibiliser les employés aux risques de sécurité et
aux bonnes pratiques en matière de sécurité informatique. La sensibilisation à la
sécurité informatique peut prendre différentes formes, telles que des formations,
des campagnes de sensibilisation, des newsletters, etc.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 139 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
d) La conformité règlementaire
La conformité réglementaire est un élément important de la sécurité
administrative. Elle permet de garantir que l'entreprise respecte les lois et les
règlements en matière de sécurité informatique. Les entreprises doivent se
conformer à de nombreuses réglementations, tant au niveau national
qu’international.
e) Les audits de sécurité
Les audits internes et externes sont des évaluations indépendantes de la sécurité
informatique dans une entreprise. Ils permettent de vérifier que les politiques de
sécurité sont appliquées correctement et que les risques de sécurité sont gérés de
manière adéquate. Les audits internes sont réalisés par les équipes de sécurité
informatique de l'entreprise, tandis que les audits externes sont réalisés par des
auditeurs indépendants. Les audits peuvent être réalisés à différents niveaux, tels
que les audits de vulnérabilité, les audits de conformité, les audits de
configuration, etc. Les résultats des audits doivent être communiqués aux
autorités dirigeantes pour permettre une amélioration continue de la sécurité
informatique dans l'entreprise.
2. Investigation numérique
L'investigation numérique, également connue sous le nom de digital forensics,
est un domaine essentiel de la sécurité informatique en entreprise. Elle permet
d'enquêter sur les incidents de sécurité informatique, tels que les attaques
informatiques, les vols de données ou les fraudes, afin de comprendre ce qui s'est
passé et d'identifier les responsables.
Avec l'augmentation du nombre d'attaques informatiques et de la dépendance des
entreprises aux technologies de l'information, l'investigation numérique est
devenue un enjeu majeur pour la sécurité informatique. En effet, les conséquences
d'un incident de sécurité peuvent être désastreuses pour une entreprise, allant de
la perte de données sensibles à l'arrêt de l'activité.
L'investigation numérique en entreprise couvre un large éventail d'activités, allant
de la collecte de preuves numériques à l'analyse des journaux d'événements en
passant par la récupération de données supprimées. Elle peut concerner tous les
éléments informatiques, tels que les ordinateurs, les téléphones, les réseaux
informatiques, les serveurs, etc.
L'objectif de cette section est de poser les bases de l'investigation numérique en
entreprise, afin que les étudiants qui souhaitent se spécialiser dans ce domaine
puissent comprendre les cours y relatifs aisément. Nous verrons les différentes

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 140 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
étapes de l'investigation numérique, les outils et les techniques utilisés, ainsi que
les bonnes pratiques à suivre pour mener une enquête efficace.
a) Chain of custody
Avant de se lancer dans les étapes d'une investigation numérique, il est crucial de
comprendre la notion de chaîne de garde, ou chain of custody en anglais. La
chaîne de garde vise à assurer la traçabilité et l'intégrité des éléments collectés
lors de l'enquête. Tout d'abord, elle permet de retracer la source de tous les
éléments collectés et d'enregistrer toutes les actions effectuées dessus. D'autre
part, elle garantit qu'il n'y a pas eu de modification des données collectées. Cette
étape est essentielle car les données collectées peuvent être présentées comme
preuve devant un tribunal. Les enquêteurs doivent donc s'assurer de la fiabilité et
de l'intégrité des données collectées en respectant scrupuleusement la chaîne de
garde.
b) Collecte des preuves
La collecte des données est la première étape d'une investigation numérique. Elle
consiste à créer des copies exactes des supports numériques sur lesquels l'enquête
va porter. Comme mentionné précédemment, le respect de la chaîne de garde est
crucial pour garantir l'intégrité des preuves collectées. C'est pourquoi l'enquêteur
ne doit jamais travailler directement sur les équipements originaux.
Parmi les bonnes pratiques à suivre lors de la collecte des données, on peut citer
:
➢ La création d'un clone de l'original de l'appareil, qui sera scellé et conservé
en lieu sûr. L'enquêteur travaillera sur d'autres copies de ce clone.

➢ L'utilisation d'outils spécialisés pour la création de copies forensics, tels

que FTK Imager, EnCase ou encore X-Ways Forensics. Ces outils
permettent de créer des copies bit-à-bit, c'est-à-dire des copies exactes du
support original, y compris les secteurs vides et les données effacées.

➢ La prise en compte des données volatiles, c'est-à-dire les données qui

disparaissent lorsque l'appareil est éteint. Il est important de ne pas éteindre
les appareils sur lesquels les investigations auront lieu, car cela peut
entraîner la perte de données importantes telles que la RAM, les processus
en cours, les ports ouverts, etc. Pour collecter ces données, l'enquêteur peut
utiliser des outils tels que Volatility ou encore Belkasoft Live RAM
Capturer.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 141 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Il est également important de documenter toutes les actions effectuées lors de la
collecte des données, en indiquant notamment les outils utilisés, les dates et
heures de collecte, les personnes impliquées, etc. Cette documentation permettra
de garantir la traçabilité des preuves collectées et de faciliter leur exploitation
ultérieure.
Voici une liste non exhaustive des outils que l'on peut utiliser lors de la collecte
des données : FTK Imager, EnCase, X-Ways Forensics, Volatility, Belkasoft Live
RAM Capturer, etc.
c) Analyse des éléments collectés
L'analyse des éléments collectés est la deuxième étape d'une investigation
numérique. Cette étape consiste à examiner et à interpréter les données collectées
afin de comprendre ce qui s'est passé pendant l'incident. Pour cela, l'enquêteur
doit mettre en relation toutes les données collectées, les agréger et les organiser
de manière à pouvoir reconstituer les événements.
L'analyse des données peut également conduire à la création de scénarios qui
pourront être confirmés ou infirmés au fil des investigations. Cette étape fait appel
à l'expérience de l'enquêteur, à sa capacité à creuser en profondeur pour trouver
les éléments pertinents pour son enquête, mais aussi à sa créativité pour imaginer
des hypothèses et des scénarios plausibles.
Bien que des outils d'analyse existent pour aider les enquêteurs dans cette tâche,
la plupart du temps, les investigateurs font appel à leur expertise technique et à
leur connaissance des systèmes informatiques pour analyser les données. Les
outils d'analyse peuvent être utilisés pour automatiser certaines tâches répétitives,
telles que l'extraction de données ou la recherche de motifs, mais l'interprétation
des résultats nécessite une expertise humaine.
Il est important de noter que l'analyse des données doit être effectuée de manière
méthodique et rigoureuse, en suivant des procédures établies et en documentant
toutes les étapes de l'enquête. Cela permettra de garantir la fiabilité des résultats
et de faciliter leur présentation devant un tribunal si nécessaire.

d) La rédaction du rapport
La rédaction du rapport est la dernière étape d'une investigation numérique. Cette
étape consiste à rédiger un compte-rendu détaillé de l'ensemble de l'enquête, en
décrivant toutes les actions effectuées et les résultats obtenus. Le rapport doit être
clair, précis et complet, afin de permettre aux destinataires de comprendre les faits
et les conclusions de l'enquête.
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 142 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Il est important de noter que le rapport d'investigation numérique n'est pas destiné
à des personnes techniques, mais plutôt à des preneurs de décision non
techniques. Par exemple, le rapport peut être utilisé par un magistrat pour juger
de la culpabilité d'un suspect, ou par un DRH pour décider si un employé est
coupable de harcèlement sexuel. Il est donc essentiel que l'investigateur soit
capable de présenter ses résultats en utilisant le moins de termes techniques
possible, tout en restant cohérent et précis.
Le rapport doit également inclure des preuves à l'appui des conclusions de
l'enquête. Ces preuves peuvent prendre différentes formes, telles que des captures
d'écran, des journaux d'événements, des fichiers ou des courriels. Il est important
de s'assurer que ces preuves sont présentées de manière claire et compréhensible,
et qu'elles sont accompagnées d'une explication détaillée de leur pertinence pour
l'enquête.
Enfin, le rapport doit être rédigé de manière professionnelle, en utilisant un
langage clair et concis. Il doit être structuré de manière logique, en commençant
par une introduction qui décrit le contexte de l'enquête, suivie d'une description
détaillée des actions entreprises et des résultats obtenus. Le rapport doit
également inclure une conclusion qui résume les principales conclusions de
l'enquête et fournit des recommandations pour les prochaines étapes.

3. Gestion des incidents

La gestion des incidents de sécurité informatique est un élément clé de la stratégie
de sécurité globale d'une entreprise. Malgré toutes les mesures de sécurité mises
en place, il est impossible de garantir une protection totale contre les menaces et
les vulnérabilités. Les incidents de sécurité peuvent survenir à tout moment et
peuvent avoir des conséquences graves sur la confidentialité, l'intégrité et la
disponibilité des données et des systèmes.
Face à cette réalité, il est essentiel que les opérateurs de sécurité de l'entreprise
soient bien formés et entraînés à la gestion des incidents de sécurité. Dans cette
section, nous allons présenter les différentes étapes de la gestion d'un incident de
sécurité informatique, de la détection à la résolution en passant par l'analyse et la
communication.
La gestion des incidents de sécurité informatique est un élément clé de la stratégie
de sécurité globale d'une entreprise. Malgré toutes les mesures de sécurité mises
en place, il est impossible de garantir une protection totale contre les menaces et
les vulnérabilités. Les incidents de sécurité peuvent survenir à tout moment et

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 143 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
peuvent avoir des conséquences graves sur la confidentialité, l'intégrité et la
disponibilité des données et des systèmes.
Face à cette réalité, il est essentiel que les opérateurs de sécurité de l'entreprise
soient bien formés et entraînés à la gestion des incidents de sécurité. Dans cette
section, nous allons présenter les différentes étapes de la gestion d'un incident de
sécurité informatique, de la détection à la résolution en passant par l'analyse et la
communication.

a) La préparation
La préparation est une étape cruciale dans la gestion des incidents de sécurité
informatique. Elle permet de poser les bases solides pour une réponse efficace en
cas d'incident. Durant cette phase, les équipes de sécurité mettent en place un plan
de gestion des incidents qui définit les procédures à suivre en cas d'incident
informatique. Ce plan doit être clair, précis et facilement accessible à tous les
membres de l'équipe de sécurité.
Le plan de gestion des incidents doit contenir les éléments suivants :
➢ Les différents types d'incidents qui peuvent survenir et leur niveau de
gravité.

➢ Les procédures à suivre pour chaque type d'incident, y compris les étapes
de détection, d'analyse, de contenment, d'éradication et de récupération.

➢ Les rôles et responsabilités de chaque membre de l'équipe de sécurité, ainsi

que les coordonnées des personnes à contacter en cas d'urgence.

➢ Les outils et les ressources nécessaires pour gérer efficacement les

incidents, tels que les logiciels de sécurité, les équipements de sauvegarde
et les plans de reprise après sinistre.

➢ Les procédures de communication à suivre en cas d'incident, y compris les

personnes à informer et les canaux de communication à utiliser.

b) Détection et analyse
La détection et l'analyse sont des étapes cruciales dans la gestion des incidents de
sécurité informatique. Pour cela, il est essentiel que le système d'information soit

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 144 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
équipé d'outils de surveillance et de détection performants, ainsi que de
ressources humaines formées à cette tâche.
La surveillance constante du système permet de détecter rapidement tout incident
susceptible de perturber la sécurité. Les outils de détection peuvent être de
différents types, tels que les systèmes de détection d'intrusion (IDS), les systèmes
de prévention d'intrusion (IPS), les outils de surveillance du réseau, etc.
Une fois qu'un incident est détecté, il doit être analysé pour déterminer sa nature,
son origine et son niveau de gravité. Cette analyse peut nécessiter l'utilisation
d'outils spécifiques, tels que les analyseurs de protocoles réseau, les outils
d'analyse de journaux d'événements, etc.
En fonction du niveau de gravité de l'incident, les procédures prévues dans le plan
de gestion des incidents doivent être mises en œuvre. Les personnes responsables
doivent être informées rapidement et les mesures nécessaires doivent être prises
pour contenir l'incident et limiter son impact sur le système d'information.
Il est important de noter que la détection et l'analyse des incidents de sécurité
informatique peuvent être complexes et nécessitent une expertise technique
pointue. Les équipes de sécurité doivent donc être formées et entraînées
régulièrement pour être en mesure de détecter et d'analyser efficacement les
incidents de sécurité.

c) Contenir, éradiquer et recouvrer

Une fois l'incident détecté, la troisième étape de la gestion des incidents
informatiques consiste à le confiner pour éviter sa propagation à d'autres parties
du système d'information. Cette étape peut être réalisée en déconnectant la zone
touchée du réseau du SI, en désactivant les comptes utilisateurs compromis ou en
bloquant les adresses IP suspectes.
Après avoir confiné l'incident, il est important de le maîtriser et de l'éradiquer.
Selon la nature de l'incident, cela peut impliquer la suppression d'un virus, la
correction d'une vulnérabilité, la réinitialisation d'un mot de passe ou la réparation
d'un équipement défectueux. Il est important de s'assurer que l'incident a été
complètement résolu et que le système est sécurisé avant de passer à l'étape
suivante.
La dernière étape est le recouvrement. Cette étape consiste à remettre le système
dans son état avant le début de l'incident. Cela peut impliquer la restauration de
sauvegardes, la réinstallation de logiciels, la récupération de données perdues ou
la réparation d'équipements endommagés. Il est important de s'assurer que toutes
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 145 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
les données et tous les systèmes sont entièrement fonctionnels avant de clore
l'incident.

d) Les activités post-incident

La dernière étape de la gestion des incidents est la phase post-incident, qui
regroupe un ensemble d'activités visant à tirer les enseignements de l'incident.
L'objectif principal de cette étape est de rédiger un rapport complet sur l'incident
et la manière dont il a été géré, afin d'alimenter sa base de données et d'améliorer
sa préparation pour la gestion des incidents futurs.

Ce rapport doit contenir des informations détaillées sur la nature de l'incident, les
causes profondes, les mesures prises pour y remédier, les personnes impliquées
et les effets sur l'entreprise. Il doit également inclure des recommandations pour
prévenir la récurrence de l'incident et améliorer la gestion des incidents futurs.

Il est important de noter que la gestion des incidents informatiques est un

processus cyclique, comme illustré dans l'image ci-dessous.

Figure 8 Gestion des incidents IT

4. Contrôles opérationnels

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 146 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Les contrôles opérationnels sont des mesures mises en place pour s'assurer que
les politiques de sécurité sont respectées et appliquées dans l'entreprise. Ils
permettent de vérifier l'efficacité des procédures de sécurité et de détecter les
éventuelles failles ou vulnérabilités du système d'information. Les contrôles
opérationnels peuvent être classés en trois grandes catégories : physiques,
logiques et administratifs.

a) Contrôles de sécurité physiques

Les contrôles de sécurité physique sont des mesures mises en place pour protéger
les équipements informatiques et les bâtiments contre les menaces physiques
telles que le vol, le vandalisme, les incendies et les catastrophes naturelles. Ces
contrôles sont essentiels pour assurer la disponibilité, l'intégrité et la
confidentialité des données et des systèmes informatiques.
Les contrôles de sécurité physique comprennent plusieurs éléments, tels que :
➢ Les gardiens : ils sont chargés de surveiller les entrées et les sorties des
bâtiments, de vérifier l'identité des visiteurs et de prévenir les intrusions.

➢ La vidéosurveillance : elle permet de surveiller les zones sensibles et

d'enregistrer les événements suspects.

➢ Les alarmes : elles sont utilisées pour détecter les intrusions, les incendies
et autres événements indésirables.

➢ Les barrières : elles sont utilisées pour contrôler l'accès aux zones
sensibles, telles que les salles serveurs et les centres de données.

➢ Les lumières : elles sont utilisées pour éclairer les zones extérieures et
décourager les intrusions.

b) Contrôles de sécurité logiques

Les contrôles de sécurité logique sont des mesures de sécurité informatique mises
en place pour protéger les systèmes d'information contre les menaces logiques
telles que les virus, les attaques de pirates informatiques, les accès non autorisés
et les fuites de données. Ces contrôles sont essentiels pour garantir la
confidentialité, l'intégrité et la disponibilité des données et des systèmes
informatiques.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 147 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Les contrôles de sécurité logique comprennent plusieurs éléments, tels que :
➢ Les pare-feux : ils sont utilisés pour filtrer le trafic réseau entrant et sortant,
en bloquant les connexions non autorisées et en autorisant uniquement les
connexions légitimes.

➢ Les logiciels de surveillance du trafic réseau : ils sont utilisés pour

surveiller le trafic réseau en temps réel, détecter les activités suspectes et
alerter les administrateurs en cas d'anomalie.

➢ Les logiciels de sauvegarde : ils sont utilisés pour sauvegarder

régulièrement les données importantes et les restaurer en cas de perte ou
de corruption.

➢ Les logiciels antivirus : ils sont utilisés pour détecter et supprimer les virus,
les logiciels malveillants et autres menaces logiques.

➢ Les contrôles d'accès : ils sont utilisés pour contrôler l'accès aux données
et aux systèmes informatiques, en autorisant uniquement les utilisateurs
autorisés à accéder aux ressources appropriées.

c) Contrôles de sécurité administratifs

Les contrôles de sécurité administratifs sont l'ensemble des mesures et des
procédures mises en place pour garantir une gestion efficace de la sécurité
informatique de l'entreprise. Ils sont essentiels pour assurer la conformité
réglementaire et la protection des actifs de l'entreprise. Ces contrôles incluent la
gouvernance de la sécurité, la gestion des risques, la formation et la
sensibilisation des employés, la gestion des accès et des identités, la gestion des
incidents et la continuité des activités.
La gouvernance de la sécurité est la stratégie globale de l'entreprise en matière de
sécurité informatique. Elle définit les politiques, les procédures et les normes de
sécurité à suivre par toutes les parties prenantes de l'entreprise. Elle permet de
garantir que les objectifs de sécurité sont alignés sur les objectifs métier de
l'entreprise et que les risques sont gérés de manière appropriée.
La gestion des risques est le processus d'identification, d'évaluation et de
traitement des risques de sécurité informatique. Elle permet de déterminer les
mesures de sécurité à mettre en place pour réduire les risques à un niveau
acceptable.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 148 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
La formation et la sensibilisation des employés sont essentielles pour garantir que
tous les employés sont conscients des risques de sécurité informatique et qu'ils
connaissent les mesures à prendre pour les réduire.

5. Gestion des actifs IT

Confère section gestion des actifs
6. Tolérance aux pannes
Les pannes sont des incidents imprévus qui peuvent affecter les systèmes
d'information de différentes manières. Il peut s'agir de pannes matérielles,
logicielles ou même humaines, qui peuvent entraîner une interruption de service
et causer des pertes financières importantes pour l'entreprise. Pour garantir la
continuité des activités et minimiser les impacts négatifs des pannes, il est
essentiel de mettre en place des solutions de tolérance aux pannes.
La tolérance aux pannes est la capacité d'un système d'information à continuer à
fonctionner malgré la survenue de pannes. Dans cette section, nous allons aborder
les notions de haute disponibilité et d'architectures redondantes comme solutions
pour garantir la tolérance aux pannes.
a) La haute disponibilité
La haute disponibilité est une exigence critique pour certains systèmes
d'information qui ne peuvent se permettre d'être en arrêt pendant une période
prolongée. Dans certains cas, une interruption de service peut avoir des
conséquences graves, voire catastrophiques, comme dans le cas d'un système
d'information d'un hôpital ou d'une centrale électrique nucléaire. Pour répondre à
cette exigence, les entreprises visent souvent à atteindre la règle des cinq 9, ce qui
signifie que le système doit être disponible 99,99% du temps. Cela implique que
le système ne peut être en panne que pendant environ 52 minutes par an. Pour
atteindre cet objectif, il est nécessaire de mettre en place des solutions de haute
disponibilité telles que des architectures redondantes, des systèmes de
basculement automatique, des sauvegardes régulières et des tests de récupération.
Ces solutions permettent de minimiser les temps d'arrêt et de garantir la continuité
des opérations en cas de panne ou de défaillance du système.
b) Les architectures redondantes
Les architectures redondantes sont une solution clé pour garantir la tolérance aux
pannes dans un système d'information. L'objectif principal de la redondance est
de dupliquer les éléments critiques de l'entreprise afin de garantir que le système
peut continuer à fonctionner même en cas de panne d'un composant. Cette
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 149 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
duplication peut se faire à différents niveaux, notamment au niveau technique,
logiciel et humain.

Au niveau technique, la redondance peut impliquer la duplication de serveurs, de

stockage, de réseaux et d'autres composants matériels. Au niveau logiciel, cela
peut impliquer la duplication de bases de données, de services et d'applications.
Au niveau humain, cela peut impliquer la formation de personnel supplémentaire
pour assurer la continuité des opérations en cas d'absence ou de défaillance d'un
employé clé.

La redondance peut être active ou passive. Dans une configuration active, les
composants redondants sont en fonctionnement constant et prêts à prendre le
relais en cas de panne du composant principal. Dans une configuration passive,
les composants redondants ne sont activés qu'en cas de panne du composant
principal.
7. Plan de continuité des activités
Le Plan de continuité des activités (PCA) est un document essentiel pour garantir
la résilience de l'entreprise face aux incidents majeurs. Son objectif est de définir
les actions à mettre en place pour assurer la continuité des activités critiques de
l'entreprise, même en cas de sinistre ou d'interruption majeure. Le PCA est
composé de procédures spécifiques et explicites attribuées à chaque rôle, afin de
garantir une réponse rapide et efficace en cas d'incident.
Bien que le PCA soit à la charge des équipes IT, il concerne tous les départements
de l'entreprise. Il est donc essentiel que le PCA soit validé par la haute direction
et assimilé par tous ceux qui sont concernés. Selon la taille et la nature de
l'entreprise, le PCA peut varier considérablement. Certaines entreprises disposent
de bureaux de secours avec le minimum vital pour fonctionner, tandis que d'autres
ont mis en place des procédures plus simples, comme le fait de continuer à
travailler à partir de la maison.
Dans tous les cas, le PCA doit être régulièrement testé et mis à jour pour s'assurer
qu'il est toujours adapté aux besoins de l'entreprise et qu'il répond aux exigences
réglementaires en matière de continuité des activités. En cas d'incident majeur,
un PCA bien conçu et régulièrement mis à jour peut faire la différence entre la
survie et la faillite de l'entreprise.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 150 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
8. Plan de reprise après sinistre
Un sinistre peut avoir des conséquences désastreuses pour une entreprise, allant
de la perte de données critiques à l'arrêt complet des activités. C'est pourquoi il
est essentiel de mettre en place un plan de reprise après sinistre (PRA) efficace.
Le PRA est un ensemble de procédures permettant de rétablir les fonctionnalités
essentielles de l'entreprise après un sinistre majeur, tel qu'une catastrophe
naturelle ou une cyberattaque.

Le PRA vise à minimiser les pertes et à garantir la continuité de l'entreprise en

restaurant les systèmes, les applications et les données critiques dans les plus
brefs délais. Tout comme le PCA, le PRA concerne tous les départements de
l'entreprise et doit être validé par la haute direction.

Le PRA doit être testé régulièrement pour s'assurer de son efficacité et de sa

pertinence. Les tests peuvent inclure des simulations de sinistres pour évaluer la
réponse de l'entreprise et identifier les éventuels points faibles.

Selon la nature et l'ampleur du sinistre, le PCA et le PRA peuvent être exécutés

simultanément. Dans ce cas, le PCA permet de maintenir les activités critiques de
l'entreprise pendant que le PRA est mis en œuvre pour restaurer les systèmes et
les données.
9. Evaluation des acquis
Voici une série de 20 QCM pour évaluer les acquis des étudiants sur les thèmes
abordés dans ce module :

1. Qu'est-ce que la gouvernance de la sécurité ?

a) La mise en place de contrôles physiques pour protéger les équipements
informatiques
b) La stratégie de sécurité de l'entreprise et la gestion des risques associés
c) La surveillance du trafic réseau pour détecter les menaces potentielles
d) La sauvegarde régulière des données pour éviter leur perte
2. Quels sont les trois types de contrôles de sécurité ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 151 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Physique, logique, administratif
b) Préventif, détectif, correctif
c) Technique, organisationnel, juridique
d) Interne, externe, tiers
3. Quels sont les éléments clés de la gestion des incidents ?
a) La préparation, la détection, la réponse, la communication
b) La prévention, la détection, la correction, la récupération
c) La planification, l'exécution, le suivi, l'amélioration continue
d) L'identification, l'analyse, la conception, la mise en œuvre
4. Qu'est-ce que la tolérance aux pannes ?
a) La capacité d'un système à fonctionner sans interruption pendant une longue
période
b) La capacité d'un système à résister aux attaques malveillantes
c) La capacité d'un système à continuer à fonctionner malgré la survenue de
pannes
d) La capacité d'un système à se remettre rapidement d'une panne
5. Quels sont les deux types d'architectures redondantes ?
a) Active-active et active-passive
b) Primaires et secondaires
c) Centralisées et distribuées
d) Symétriques et asymétriques
6. Qu'est-ce que la haute disponibilité ?
a) La capacité d'un système à fonctionner sans interruption pendant une longue
période
b) La capacité d'un système à résister aux attaques malveillantes
c) La capacité d'un système à continuer à fonctionner malgré la survenue de
pannes
d) La capacité d'un système à se remettre rapidement d'une panne
7. Qu'est-ce qu'un plan de continuité des activités (PCA) ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 152 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Un plan de reprise après sinistre (PRA)
b) Un plan de sauvegarde des données
c) Un plan de gestion des incidents
d) Un plan pour garantir que l'entreprise puisse fournir un service minimal malgré
un incident en cours
8. Qu'est-ce qu'un plan de reprise après sinistre (PRA) ?
a) Un plan de continuité des activités (PCA)
b) Un plan de sauvegarde des données
c) Un plan de gestion des incidents
d) Un plan pour restaurer les systèmes et les données après un sinistre majeur
9. Qu'est-ce que la chaîne de custody ?
a) La séquence de personnes ayant eu la garde d'une preuve numérique
b) La procédure de collecte des preuves numériques
c) La méthode de stockage des preuves numériques
d) La technique d'analyse des preuves numériques
10. Qu'est-ce qu'un indicateur de compromission (IOC) ?
a) Un signe qu'un système a été compromis par une menace
b) Un outil de détection des menaces
c) Un rapport d'incident
d) Une procédure de réponse aux incidents
11. Qu'est-ce qu'un test d'intrusion ?
a) Un test de vulnérabilité
b) Une simulation d'attaque
c) Une analyse de risque
d) Un audit de sécurité
12. Qu'est-ce que le RGPD ?
a) Le règlement général sur la protection des données personnelles
b) Le règlement général sur la protection des données professionnelles

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 153 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
c) Le règlement général sur la protection des données publiques
d) Le règlement général sur la protection des données privées
13. Qu'est-ce que la conformité réglementaire ?
a) Le respect des lois et des règlements en vigueur
b) La sécurité physique des équipements informatiques
c) La gestion des incidents de sécurité
d) La sauvegarde régulière des données
14. Qu'est-ce qu'un audit interne ?
a) Un audit réalisé par une entreprise externe
b) Un audit réalisé par les autorités de régulation
c) Un audit réalisé par les équipes internes de l'entreprise
d) Un audit réalisé par les clients de l'entreprise
15. Qu'est-ce qu'une politique de sécurité ?
a) Un ensemble de règles et de procédures pour garantir la sécurité de l'entreprise
b) Une déclaration de confidentialité
c) Un contrat de service
d) Un plan de projet
16. Qu'est-ce que la sensibilisation à la sécurité informatique ?
a) La formation des employés aux bonnes pratiques en matière de sécurité
informatique
b) La mise en place de contrôles physiques pour protéger les équipements
informatiques
c) La surveillance du trafic réseau pour détecter les menaces potentielles
d) La sauvegarde régulière des données pour éviter leur perte
17. Qu'est-ce que la gestion des actifs IT ?
a) La gestion des stocks de matériel informatique
b) La gestion des licences logicielles
c) La gestion des configurations matérielles et logicielles

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 154 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
d) La gestion des risques liés aux actifs informatiques
18. Qu'est-ce que la journalisation ?
a) La sauvegarde régulière des données
b) La surveillance du trafic réseau
c) L'enregistrement des événements et des activités sur les systèmes
informatiques
d) La gestion des mots de passe
19. Qu'est-ce que l'authentification à deux facteurs ?
a) L'utilisation d'un mot de passe et d'un nom d'utilisateur
b) L'utilisation d'un mot de passe et d'une empreinte digitale
c) L'utilisation d'un mot de passe et d'un code envoyé par SMS
d) L'utilisation d'un mot de passe et d'une question secrète
20. Qu'est-ce que le chiffrement ?
a) La compression des données pour économiser de l'espace de stockage
b) La conversion des données en un code secret pour protéger leur confidentialité
c) La sauvegarde régulière des données pour éviter leur perte
d) La suppression définitive des données pour protéger leur confidentialité
10.TP

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 155 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
- Cloner un disque avec FTK Imager
- Prise en main de l’outil Encase
- Proposer une campagne de sensibilisation aux cyber attaques au sein de
l’ENSPY

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 156 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

LIVRE IX
SECURIT DES APPLICATIONS

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 157 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

IX. Sécurité des applications

Les applications informatiques sont devenues un élément essentiel de notre vie

quotidienne et sont largement utilisées dans les systèmes d'information des
entreprises. Elles peuvent être développées sur mesure pour répondre aux besoins
spécifiques de l'entreprise ou être des applications déjà conçues pour une
utilisation plus large. Cependant, avec l'augmentation de l'utilisation des
applications, les risques de sécurité ont également augmenté. Les applications
peuvent être des cibles privilégiées pour les personnes malveillantes cherchant à
accéder aux données sensibles de l'entreprise, à perturber les opérations
commerciales ou à causer d'autres dommages.
Pour cette raison, la sécurité des applications doit être une priorité absolue pour
toute entreprise. Dans ce module, nous allons aborder les différents aspects de la
sécurité des applications.

1) Les méthodes de développement

Les méthodes de développement sont une composante essentielle du génie
logiciel qui fournit aux développeurs un ensemble d'étapes structurées pour
concevoir et implémenter un logiciel. Ces méthodes ont considérablement évolué
au fil des ans, passant des approches traditionnelles aux méthodes agiles plus
récentes.
Les méthodes de développement classiques, telles que le modèle en cascade, le
modèle en V et le modèle itératif, sont des approches séquentielles qui impliquent
une planification détaillée et une documentation complète à chaque étape du
processus de développement. Bien que ces méthodes aient été largement utilisées
dans le passé, elles présentent certaines limites, telles qu'une faible flexibilité et
une adaptation difficile aux changements.
Les méthodes agiles, telles que Scrum, XP (Extreme Programming) et Kanban,
sont des approches plus récentes qui mettent l'accent sur la collaboration, la
flexibilité et la livraison rapide de logiciels de haute qualité. Ces méthodes sont
basées sur des itérations courtes et des cycles de rétroaction continus, ce qui
permet aux équipes de développement de s'adapter rapidement aux changements
et de répondre aux besoins des utilisateurs finaux.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 158 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
2) Evaluation de la sécurité des logiciels
L'évaluation de la sécurité des logiciels est un élément essentiel de la sécurité
informatique. Elle permet de détecter les vulnérabilités et les faiblesses de
sécurité dans les applications logicielles avant qu'elles ne soient exploitées par
des attaquants malveillants. L'évaluation de la sécurité des logiciels doit
idéalement être effectuée avant le lancement du logiciel ou d'une mise à jour, mais
elle peut également être réalisée lorsque le logiciel est déjà en service.
Dans cette section, nous allons examiner les différents types d'évaluation de la
sécurité des logiciels, les méthodologies utilisées pour les réaliser et les outils
disponibles pour aider à les effectuer.
a) Les vulnérabilités logicielles
Les vulnérabilités logicielles sont des failles de sécurité qui peuvent être
exploitées par des personnes malveillantes pour accéder à des données sensibles,
perturber le fonctionnement d'une application ou prendre le contrôle d'un
système. Ces vulnérabilités peuvent varier en fonction de l'application, mais elles
peuvent être classées en quelques grandes familles :

• Injection de code : cette vulnérabilité consiste à exploiter une entrée

utilisateur pour injecter du code malveillant dans l'application. Selon le
type d'application, cela peut être du code shell, du code SQL ou du code
JavaScript. Cette vulnérabilité peut permettre à un attaquant d'exécuter des
commandes arbitraires sur le système ou de voler des données sensibles.

• Exposition de données sensibles : cette vulnérabilité survient lorsque des

données sensibles, telles que les versions d'application, les mots de passe
non cryptés ou les clés d'API, sont exposées de manière involontaire ou
volontaire. Cette vulnérabilité peut permettre à un attaquant d'accéder à des
informations sensibles ou de perturber le fonctionnement de l'application.

• Dépassement de tampon : cette vulnérabilité survient lorsqu'un attaquant

exploite la mémoire de l'application pour écraser la mémoire tampon
allouée et exécuter du code malveillant. Cette vulnérabilité peut permettre
à un attaquant de prendre le contrôle du système ou de perturber le
fonctionnement de l'application.

• Vulnérabilités des composants tiers : cette vulnérabilité survient lorsque

des composants tiers utilisés dans l'application présentent des

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 159 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
vulnérabilités connues. Cette vulnérabilité peut permettre à un attaquant
d'exploiter ces vulnérabilités pour accéder à des données sensibles ou
perturber le fonctionnement de l'application.

• Manque de contrôles d'entrée et de validation : cette vulnérabilité

survient lorsque les entrées utilisateur ne sont pas correctement validées ou
filtrées. Cette vulnérabilité peut permettre à un attaquant d'injecter du code
malveillant ou d'exploiter d'autres vulnérabilités dans l'application.

• Mauvaise gestion des erreurs : cette vulnérabilité survient lorsque les

messages d'erreur fournissent des informations détaillées sur l'application
ou le système sous-jacent. Cette vulnérabilité peut permettre à un attaquant
d'obtenir des informations sensibles ou de perturber le fonctionnement de
l'application.

b) Les types de test de la sécurité logiciels

Les tests de sécurité logiciels sont des méthodes d'évaluation de la sécurité des
applications qui permettent de détecter les vulnérabilités et les faiblesses de
sécurité. Selon le niveau d'accessibilité au logiciel, il existe trois types de tests de
sécurité logiciels :
• Le test en boîte noire : dans ce type de test, les équipes de sécurité n'ont
aucun accès au code source ou à tout autre élément propre au logiciel. Les
équipes travaillent comme des personnes externes, en essayant de trouver
des vulnérabilités en utilisant uniquement les fonctionnalités publiques de
l'application. Ce type de test est utile pour simuler une attaque réelle et pour
évaluer la sécurité de l'application du point de vue d'un attaquant externe.

• Le test en boîte grise : dans ce type de test, les équipes de sécurité ont
accès à certaines informations sur l'application, telles que le workflow de
l'application ou même certains mots de passe. Les équipes peuvent utiliser
ces informations pour effectuer des tests plus ciblés et plus approfondis. Ce
type de test est utile pour évaluer la sécurité de l'application du point de
vue d'un attaquant interne ou d'un utilisateur autorisé.

• Le test en boîte blanche : dans ce type de test, les équipes de sécurité ont
accès au code source de l'application. Cela leur permet d'effectuer une
analyse approfondie du code pour détecter les vulnérabilités et les
faiblesses de sécurité. Ce type de test est utile pour évaluer la sécurité de
----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 160 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
l'application du point de vue du développeur et pour identifier les
problèmes de sécurité qui pourraient être difficiles à détecter avec d'autres
méthodes de test.

c) La méthodologie des tests de la sécurité logiciels

La méthodologie de test de sécurité des logiciels se décline en plusieurs étapes
clés, chacune nécessitant des outils spécifiques pour être réalisée efficacement :
• La reconnaissance : cette étape consiste à collecter le plus grand nombre
d'informations sur l'application, telles que le langage de programmation
utilisé, les mots de passe, les serveurs sur lesquels elle est hébergée, etc.
Cette étape peut être passive (en utilisant des outils tels que Maltego,
Shodan ou Censys pour rechercher des informations publiques sur
l'application) ou active (en utilisant des outils tels que Nmap, Nessus ou
Burp Suite pour scanner l'application et identifier les ports ouverts, les
services en cours d'exécution, etc.). En fonction du type de test, cette étape
peut être plus ou moins longue. Par exemple, dans un test de type boîte
noire, elle prendra plus de temps que dans un test de type boîte grise.

• La recherche des vulnérabilités : cette étape consiste à chercher les

vulnérabilités de l'application en fonction des informations obtenues lors
de l'étape précédente. Les outils tels que OWASP ZAP, SQLMap ou
DirBuster peuvent être utilisés pour identifier les vulnérabilités d'injection
de code, les failles d'authentification, les erreurs de configuration, etc.

• L'exploitation : cette étape consiste à utiliser les vulnérabilités identifiées

pour accéder à l'application. Les outils tels que Metasploit, Burp Suite ou
BeEF peuvent être utilisés pour exploiter les vulnérabilités et obtenir un
accès non autorisé à l'application.

• L'élévation de privilèges : cette étape consiste à effectuer un mouvement

latéral ou vertical pour obtenir des privilèges plus élevés dans l'application.
Les outils tels que Mimikatz, PowerSploit ou Empire peuvent être utilisés
pour voler des identifiants, élever des privilèges ou se déplacer
latéralement dans le réseau.

3) Les bases de données

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 161 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Les bases de données sont un élément clé de toute application moderne,
permettant de stocker, de gérer et de récupérer des données de manière efficace
et structurée. Avec l'augmentation de la quantité de données générées et utilisées
par les applications, la sécurité des bases de données est devenue une
préoccupation majeure pour les entreprises et les organisations. Dans cette
section, nous allons examiner les différents types de bases de données,
notamment les bases de données SQL et NoSQL, et discuter des meilleures
pratiques pour sécuriser les bases de données contre les menaces de sécurité
courantes.

a) Les bases de données SQL

Les bases de données SQL (Structured Query Language) sont des bases de
données relationnelles qui utilisent le langage SQL pour interroger et manipuler
les données. Les données sont organisées sous forme de tables, avec des champs
et des attributs, et peuvent être liées entre elles à l'aide de clés primaires et
étrangères. Les bases de données SQL sont largement utilisées dans les
applications professionnelles en raison de leur capacité à gérer de grands volumes
de données et à fournir des performances élevées.

Figure 9 Exemple de table SQL

Il existe plusieurs systèmes de gestion de bases de données SQL, chacun ayant

ses propres caractéristiques et fonctionnalités. Voici quelques-uns des systèmes
de gestion de bases de données SQL les plus populaires :
• MySQL : un système de gestion de base de données open source populaire,
largement utilisé dans les applications web.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 162 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
• MariaDB : un fork de MySQL créé par les développeurs originaux de
MySQL, qui vise à offrir une alternative open source plus fiable et plus
sécurisée.

• PostgreSQL : un système de gestion de base de données open source

avancé, connu pour sa fiabilité, sa sécurité et ses performances élevées.

• Oracle Database : un système de gestion de base de données propriétaire

populaire, largement utilisé dans les entreprises pour gérer des données
critiques.

• Microsoft SQL Server : un système de gestion de base de données

propriétaire développé par Microsoft, largement utilisé dans les
applications Windows.

b) Les bases de données NoSQL

Les bases de données NoSQL sont des bases de données non relationnelles qui
ont émergé ces dernières années en réponse aux limites des bases de données
relationnelles traditionnelles. Contrairement aux bases de données SQL, les bases
de données NoSQL ne stockent pas les données sous forme de tables avec des
lignes et des colonnes, mais utilisent plutôt des modèles de données plus flexibles
pour stocker et récupérer les données.
Il existe plusieurs types de bases de données NoSQL, chacun avec ses propres
caractéristiques et cas d'utilisation. Voici quelques-uns des types les plus courants
:
• Bases de données clé-valeur : ces bases de données stockent les données
sous forme de paires clé-valeur, où chaque clé est unique et correspond à
une valeur. Les bases de données clé-valeur sont souvent utilisées pour
stocker des données simples et peu structurées, telles que des sessions
utilisateur ou des caches. Exemple de SGBD : Riak, Redis.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 163 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Figure 10 Bases de données clés-valeurs

• Bases de données orientées documents : ces bases de données stockent

les données sous forme de documents, tels que des fichiers JSON ou XML.
Les documents peuvent contenir des données structurées et non structurées,
ainsi que des métadonnées. Les bases de données orientées documents sont
souvent utilisées pour stocker des données semi-structurées, telles que des
documents textuels ou des données de capteurs. Exemple de SGBD :
MongoDB, Couchbase.

Figure 11 Bases orientés-documents

• Bases de données orientées colonnes : ces bases de données stockent les

données sous forme de colonnes plutôt que de lignes. Les colonnes sont
regroupées en familles de colonnes, ce qui permet une compression et une
indexation efficaces des données. Les bases de données orientées colonnes
sont souvent utilisées pour stocker de grands ensembles de données
structurées, telles que des données de journal ou des données de capteurs.
Exemple de SGBD : Cassandra, HBase.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 164 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024

Figure 12 Base de données orientées-colonnes

• Bases de données orientées graphes : ces bases de données stockent les

données sous forme de graphes, où les nœuds représentent des entités et les
arêtes représentent des relations entre les entités. Les bases de données
orientées graphes sont souvent utilisées pour stocker des données
complexes et interconnectées, telles que des réseaux sociaux ou des
réseaux de transport. Exemple de SGBD : Neo4j, OrientDB.

Figure 13 Bases de données orientées-graphes

c) Les injections dans les bases de données

Les injections dans les bases de données sont des attaques courantes qui peuvent
avoir des conséquences graves sur la sécurité des données. Les injections se
produisent lorsque des données non fiables sont insérées dans une requête de base
de données, ce qui permet à un attaquant d'exécuter du code malveillant ou
d'accéder à des données sensibles.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 165 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
Les injections SQL sont les plus courantes et se produisent lorsque des données
non fiables sont insérées dans une requête SQL. Par exemple, supposons qu'une
application web utilise la requête SQL suivante pour se connecter à une base de
données :
```sql
SELECT * FROM users WHERE username = 'admin' AND password =
'password'
```
Si un attaquant entre une chaîne malveillante dans le champ de nom
d'utilisateur, comme `admin' --`, la requête SQL devient :
```sql
SELECT * FROM users WHERE username = 'admin' --' AND password =
'password'
```
Le `--` est un commentaire en SQL, ce qui signifie que tout ce qui suit est
ignoré par la base de données. Par conséquent, la requête SQL devient :
```sql
SELECT * FROM users WHERE username = 'admin'
```
Cela permet à l'attaquant de se connecter en tant qu'administrateur sans avoir
besoin du mot de passe.

Les injections NoSQL sont similaires aux injections SQL, mais elles se
produisent dans les bases de données NoSQL. Par exemple, supposons qu'une
application utilise une base de données MongoDB et qu'elle exécute la requête
suivante pour récupérer des données utilisateur :
```php
db.users.find({username: 'admin', password: 'password'})
```
Si un attaquant entre une chaîne malveillante dans le champ de nom
d'utilisateur, comme `admin' || 1==1 || 'a' == 'a`, la requête MongoDB devient :

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 166 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
```php
db.users.find({username: 'admin' || 1==1 || 'a' == 'a', password: 'password'})
```
Cela permet à l'attaquant de se connecter en tant qu'administrateur sans avoir
besoin du mot de passe, car la condition `1==1` est toujours vraie.

Pour se protéger contre les injections dans les bases de données, il est important
de toujours valider et filtrer les entrées utilisateur, d'utiliser des requêtes préparées
et de limiter les privilèges des utilisateurs de la base de données. Les développeurs
doivent également effectuer des tests de sécurité réguliers pour détecter les
vulnérabilités d'injection et les corriger rapidement.

4) Programmation Orientée objet

La programmation orientée objet (POO) est un paradigme de programmation qui
se base sur la notion d'objets, qui sont des entités autonomes et modulaires. Les
objets peuvent contenir des données et des méthodes pour manipuler ces données.
La POO repose sur sept principes fondamentaux :

1. L'encapsulation : l'encapsulation consiste à regrouper les données et les

méthodes qui les manipulent dans une seule unité, appelée objet. Les données
sont ainsi protégées contre les accès non autorisés, ce qui améliore la sécurité de
l'application.
2. L'héritage : l'héritage permet à une classe de dériver d'une autre classe, en
héritant de ses propriétés et de ses méthodes. Cela permet de réutiliser du code
existant et de créer des hiérarchies de classes, ce qui facilite la maintenance et
l'évolutivité de l'application.
3. Le polymorphisme : le polymorphisme permet à une méthode d'avoir plusieurs
comportements différents en fonction de l'objet sur lequel elle est appelée. Cela
permet de créer des interfaces plus flexibles et plus génériques, ce qui améliore
la réutilisabilité du code.
4. L'abstraction : l'abstraction consiste à masquer les détails d'implémentation
d'un objet et à ne fournir que les fonctionnalités essentielles. Cela permet de
simplifier les interfaces et de réduire la complexité de l'application.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 167 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
5. Le couplage faible : le couplage faible signifie que les objets sont peu
dépendants les uns des autres. Cela permet de réduire les risques de bugs et de
faciliter la maintenance et l'évolutivité de l'application.
6. La cohésion forte : la cohésion forte signifie que les méthodes et les données
d'un objet sont étroitement liées et forment une unité logique. Cela permet de
réduire la complexité de l'application et de faciliter la maintenance et l'évolutivité.
7. L'association : l'association est une relation entre deux objets, où un objet utilise
les fonctionnalités d'un autre objet. Cela permet de créer des relations plus
flexibles et plus dynamiques entre les objets.

L'utilisation de la POO présente plusieurs avantages pour la sécurité de

l'application. Tout d'abord, l'encapsulation permet de protéger les données contre
les accès non autorisés, ce qui réduit les risques de vulnérabilités. Ensuite, le
polymorphisme permet de créer des interfaces plus flexibles et plus génériques,
ce qui rend l'application plus difficile à attaquer. Enfin, le couplage faible et la
cohésion forte permettent de réduire la complexité de l'application et de faciliter
la maintenance et l'évolutivité, ce qui réduit les risques de bugs et de
vulnérabilités.

5) Programmation sécurisée
Le Secure Software Development LifeCycle (SSDLC) est une approche de
développement logiciel qui intègre la sécurité à chaque étape du cycle de vie du
développement logiciel. L'objectif est de créer des logiciels plus sûrs et plus
résistants aux attaques en identifiant et en corrigeant les vulnérabilités de sécurité
dès le début du processus de développement. Voici comment la sécurité peut être
intégrée à chaque étape du cycle de développement logiciel classique :

1. Planification : pendant la phase de planification, il est important de définir les

exigences de sécurité pour l'application. Cela peut inclure des exigences de
confidentialité, d'intégrité et de disponibilité. Les risques de sécurité doivent être
identifiés et évalués, et des mesures de sécurité appropriées doivent être
planifiées.
2. Conception : pendant la phase de conception, l'architecture de sécurité de
l'application doit être conçue. Cela peut inclure la définition de contrôles d'accès,
la sécurisation des données, la protection contre les injections et la validation des

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 168 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
entrées. Les bonnes pratiques de sécurité doivent être prises en compte dans la
conception de l'interface utilisateur, de la base de données et de l'architecture
réseau.
3. Développement : pendant la phase de développement, les développeurs doivent
suivre les bonnes pratiques de sécurité pour éviter les vulnérabilités de sécurité
courantes. Cela peut inclure la validation des entrées, la protection contre les
injections, la gestion sécurisée des mots de passe et la protection des données
sensibles. Les outils de développement sécurisé doivent être utilisés pour détecter
les vulnérabilités de sécurité dans le code.
4. Test : pendant la phase de test, les tests de sécurité doivent être effectués pour
identifier les vulnérabilités de sécurité dans l'application. Les tests de pénétration,
les tests d'intrusion et les tests de vulnérabilité peuvent être utilisés pour évaluer
la sécurité de l'application. Les résultats des tests doivent être utilisés pour
corriger les vulnérabilités de sécurité avant la mise en production.
5. Déploiement : pendant la phase de déploiement, les mesures de sécurité doivent
être mises en place pour protéger l'application contre les attaques. Cela peut
inclure la configuration sécurisée du serveur, la protection du réseau, la gestion
des correctifs de sécurité et la surveillance de la sécurité.
6. Maintenance : pendant la phase de maintenance, les correctifs de sécurité
doivent être appliqués régulièrement pour corriger les vulnérabilités de sécurité.
Les journaux de sécurité doivent être surveillés pour détecter les attaques et les
incidents de sécurité. Les mesures de sécurité doivent être mises à jour en fonction
des changements dans l'environnement de l'application.

En intégrant la sécurité à chaque étape du cycle de vie du développement logiciel,

le SSDLC permet de créer des applications plus sûres et plus résistantes aux
attaques. Cela peut aider à réduire les risques de violation de données, à protéger
la confidentialité, l'intégrité et la disponibilité des données, et à améliorer la
confiance des utilisateurs dans l'application.

6) Evaluation des acquis

1. Qu'est-ce que la sécurité des applications ?
a) La sécurité des applications est la protection des données stockées dans une
application.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 169 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
b) La sécurité des applications est la protection des applications contre les
menaces et les vulnérabilités.
c) La sécurité des applications est la protection des réseaux contre les attaques.
2. Quels sont les trois types de tests de sécurité logiciels ?
a) Test boîte noire, test boîte grise, test boîte blanche.
b) Test fonctionnel, test de performance, test de sécurité.
c) Test unitaire, test d'intégration, test de régression.
3. Qu'est-ce qu'une injection SQL ?
a) Une injection SQL est une attaque qui consiste à injecter du code malveillant
dans une application web.
b) Une injection SQL est une attaque qui consiste à injecter du code SQL dans
une base de données.
c) Une injection SQL est une attaque qui consiste à injecter du code HTML dans
une page web.
4. Qu'est-ce qu'une base de données NoSQL ?
a) Une base de données NoSQL est une base de données qui utilise le langage
SQL pour stocker et récupérer des données.
b) Une base de données NoSQL est une base de données qui n'utilise pas le
langage SQL pour stocker et récupérer des données.
c) Une base de données NoSQL est une base de données qui ne stocke pas de
données.
5. Quel est l'avantage de la programmation orientée objet pour la sécurité des
applications ?
a) La programmation orientée objet permet de créer des applications plus
rapidement.
b) La programmation orientée objet permet de créer des applications plus
sécurisées en utilisant des principes tels que l'encapsulation et l'héritage.
c) La programmation orientée objet permet de créer des applications plus faciles
à utiliser.
6. Qu'est-ce que le Secure Software Development LifeCycle (SSDLC) ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 170 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) Le SSDLC est un cycle de développement logiciel qui se concentre sur la
sécurité à chaque étape du processus de développement.
b) Le SSDLC est un cycle de développement logiciel qui se concentre sur la
performance à chaque étape du processus de développement.
c) Le SSDLC est un cycle de développement logiciel qui se concentre sur la
convivialité à chaque étape du processus de développement.
7. Qu'est-ce qu'une vulnérabilité logicielle ?
a) Une vulnérabilité logicielle est une faiblesse dans un logiciel qui peut être
exploitée par un attaquant.
b) Une vulnérabilité logicielle est une fonctionnalité dans un logiciel qui peut être
utilisée par un attaquant.
c) Une vulnérabilité logicielle est une erreur dans un logiciel qui peut être corrigée
par un correctif.
8. Qu'est-ce que l'évaluation de la sécurité des logiciels ?
a) L'évaluation de la sécurité des logiciels est le processus de test de la sécurité
d'une application avant son déploiement.
b) L'évaluation de la sécurité des logiciels est le processus de test de la sécurité
d'une application après son déploiement.
c) L'évaluation de la sécurité des logiciels est le processus de développement
d'une application sécurisée.
9. Qu'est-ce que le dépassement de tampon ?
a) Le dépassement de tampon est une vulnérabilité qui permet à un attaquant
d'écrire des données en dehors de la mémoire allouée à une variable.
b) Le dépassement de tampon est une vulnérabilité qui permet à un attaquant de
lire des données en dehors de la mémoire allouée à une variable.
c) Le dépassement de tampon est une vulnérabilité qui permet à un attaquant de
supprimer des données en dehors de la mémoire allouée à une variable.
10. Qu'est-ce que l'injection de code ?
a) L'injection de code est une vulnérabilité qui permet à un attaquant d'injecter du
code malveillant dans une application web.
b) L'injection de code est une vulnérabilité qui permet à un attaquant d'injecter du
code malveillant dans une base de données.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 171 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
c) L'injection de code est une vulnérabilité qui permet à un attaquant d'injecter du
code HTML dans une page web.
11. Qu'est-ce que l'exposition des données sensibles ?
a) L'exposition des données sensibles est une vulnérabilité qui permet à un
attaquant d'accéder à des données sensibles telles que des mots de passe ou des
informations de carte de crédit.
b) L'exposition des données sensibles est une vulnérabilité qui permet à un
attaquant d'accéder à des données non sensibles telles que des images ou des
vidéos.
c) L'exposition des données sensibles est une vulnérabilité qui permet à un
attaquant de supprimer des données sensibles.
12. Qu'est-ce que la mauvaise gestion des erreurs ?
a) La mauvaise gestion des erreurs est une vulnérabilité qui permet à un attaquant
d'exploiter des erreurs dans une application web.
b) La mauvaise gestion des erreurs est une vulnérabilité qui permet à un attaquant
de corriger des erreurs dans une application web.
c) La mauvaise gestion des erreurs est une vulnérabilité qui permet à un attaquant
de supprimer des erreurs dans une application web.
13. Qu'est-ce que le manque de contrôles d'entrée et de validation ?
a) Le manque de contrôles d'entrée et de validation est une vulnérabilité qui
permet à un attaquant d'injecter du code malveillant dans une application web.
b) Le manque de contrôles d'entrée et de validation est une vulnérabilité qui
permet à un attaquant d'injecter du code HTML dans une page web.
c) Le manque de contrôles d'entrée et de validation est une vulnérabilité qui
permet à un attaquant d'accéder à des données sensibles telles que des mots de
passe ou des informations de carte de crédit.
14. Qu'est-ce que la vulnérabilité des composants tiers ?
a) La vulnérabilité des composants tiers est une vulnérabilité qui permet à un
attaquant d'exploiter des failles dans des composants tiers utilisés dans une
application web.
b) La vulnérabilité des composants tiers est une vulnérabilité qui permet à un
attaquant d'exploiter des failles dans des composants développés en interne
utilisés dans une application web.

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 172 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
c) La vulnérabilité des composants tiers est une vulnérabilité qui permet à un
attaquant d'exploiter des failles dans des composants matériels utilisés dans une
application web.
15. Qu'est-ce que l'héritage en programmation orientée objet ?
a) L'héritage est un principe de programmation orientée objet qui permet à une
classe de réutiliser les fonctionnalités d'une autre classe.
b) L'héritage est un principe de programmation orientée objet qui permet à une
classe de créer des objets à partir d'une autre classe.
c) L'héritage est un principe de programmation orientée objet qui permet à une
classe de modifier les fonctionnalités d'une autre classe.
16. Qu'est-ce que l'encapsulation en programmation orientée objet ?
a) L'encapsulation est un principe de programmation orientée objet qui permet de
regrouper les données et les fonctionnalités d'une classe dans une seule unité.
b) L'encapsulation est un principe de programmation orientée objet qui permet de
séparer les données et les fonctionnalités d'une classe dans des unités distinctes.
c) L'encapsulation est un principe de programmation orientée objet qui permet de
dupliquer les données et les fonctionnalités d'une classe dans plusieurs unités.
17. Qu'est-ce que le polymorphisme en programmation orientée objet ?
a) Le polymorphisme est un principe de programmation orientée objet qui permet
à une classe d'avoir plusieurs formes.
b) Le polymorphisme est un principe de programmation orientée objet qui permet
à une classe d'avoir plusieurs noms.
c) Le polymorphisme est un principe de programmation orientée objet qui permet
à une classe d'avoir plusieurs fonctionnalités.
18. Qu'est-ce que le couplage en programmation orientée objet ?
a) Le couplage est un principe de programmation orientée objet qui mesure le
degré de dépendance entre les classes.
b) Le couplage est un principe de programmation orientée objet qui mesure le
degré de similarité entre les classes.
c) Le couplage est un principe de programmation orientée objet qui mesure le
degré de complexité entre les classes.
19. Qu'est-ce que la cohésion en programmation orientée objet ?

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 173 sur 174
 ----------------COURS DE SECURITE INFORMATIQUE---------------- 2024
a) La cohésion est un principe de programmation orientée objet qui mesure le
degré de lien entre les fonctionnalités d'une classe.
b) La cohésion est un principe de programmation orientée objet qui mesure le
degré de lien entre les classes.
c) La cohésion est un principe de programmation orientée objet qui mesure le
degré de lien entre les données d'une classe.
20. Qu'est-ce que l'abstraction en programmation orientée objet ?
a) L'abstraction est un principe de programmation orientée objet qui permet de
cacher les détails d'implémentation d'une classe.
b) L'abstraction est un principe de programmation orientée objet qui permet de
dupliquer les fonctionnalités d'une classe.
c) L'abstraction est un principe de programmation orientée objet qui permet de
créer des classes vides.

7) TP
Faire l’évaluation de la sécurité de l’application des gestions de notes de
l’ENSPY

----------------------------------------------------------------------------------------------------------------------------------------------------

By Thierry MINKA, Sr-Eng, Sr-Auditor, GRC Expert Page 174 sur 174