CHAPITRE 1 Premières notions de sécurité
1.1 Introduction
Ce chapitre introduit les notions de base de la sécurité de l’information; il effectue un premier
parcours de l’ensemble du domaine, de ses aspects humains, techniques et organisationnels, sans
en donner de description technique.
1.2 Menaces, risques, vulnérabilités
La Sécurité des Systèmes d’Information (SSI) est aujourd’hui un sujet important parce que le
système d’information (SI) est pour beaucoup d’entreprises un élément absolument vital.
Conjurer les menaces contre le SI est devenu impératif, et les lignes qui suivent sont une brève
description. Les menaces contre le système d’information entrent dans une des catégories
suivantes : atteinte à la disponibilité des systèmes et des données, destruction de données,
corruption ou falsification de données, vol ou espionnage de données, usage illicite d’un système
ou d’un réseau, usage d’un système compromis pour attaquer d’autres cibles.
Les menaces engendrent des risques et coûts humains et financiers : perte de confidentialité de
données sensibles, indisponibilité des infrastructures et des données, dommages pour le
patrimoine intellectuel et la notoriété. Les risques peuvent se réaliser si les systèmes menacés
présentent des vulnérabilités.
Il est possible de préciser la notion de risque en la décrivant comme le produit d’un préjudice par
une probabilité d’occurrence :
risque = préjudice x probabilité d’occurrence
Cette formule exprime qu’un événement dont la probabilité est assez élevée, par exemple la
défaillance d’un disque dur, mais dont il est possible de prévenir le préjudice qu’il peut causer, par
des sauvegardes régulières, représente un risque acceptable ; il en va de même pour un événement
à la gravité imparable, comme l’impact d’un météorite de grande taille, mais à la probabilité
d’occurrence faible. Il va de soi que, dans le premier cas, le risque ne devient acceptable que si les
1
�mesures de prévention contre le préjudice sont effectives et efficaces : cela irait sans dire, si
l’oubli de cette condition n’était très fréquent.
Si la question de la sécurité des systèmes d’information a été radicalement bouleversée par
l’évolution rapide de l’Internet, elle ne saurait s’y réduire ; il s’agit d’un vaste problème dont les
aspects techniques ne sont qu’une partie.
1.3 Aspects techniques de la sécurité
Les problèmes techniques actuels de sécurité informatique peuvent, au moins provisoirement, être
classés en deux grandes catégories :
• ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur ou poste de travail, de son
système d’exploitation et des données qu’il abrite ;
• ceux qui découlent directement ou indirectement de l’essor des réseaux, qui multiplie la quantité
et la gravité des menaces.
Si les problèmes de la première catégorie citée ici existent depuis la naissance de l’informatique, il
est clair que l’essor des réseaux, puis de l’Internet, en a démultiplié l’impact potentiel en
permettant leur combinaison avec ceux de la seconde catégorie.
La résorption des vulnérabilités repose sur un certain nombre de principes et de
méthodes que nous allons énumérer dans la présente section avant de les décrire
plus en détail.
1.3.1 Définir risques et objets à protéger
[Link] Périmètre de sécurité
Inutile de se préoccuper de sécurité sans avoir défini ce qui était à protéger : en
d’autres termes toute organisation désireuse de protéger ses systèmes et ses ré-
seaux doit déterminer son périmètre de sécurité. Le périmètre de sécurité, au sein de
l’univers physique, délimite l’intérieur et l’extérieur, mais sa définition doit aussi englober (ou
pas) les entités immatérielles qui peuplent les ordinateurs et les réseaux, essentiellement les
logiciels et en particulier les systèmes d’exploitation.
2
�Une fois fixé ce périmètre, il faut aussi élaborer une politique de sécurité, c’est-à-dire décider de
ce qui est autorisé et de ce qui est interdit. À cette politique viennent bien sûr s’ajouter les lois et
les règlements en vigueur, qui s’imposent à tous. Cela fait, il sera possible de mettre en place les
solutions techniques appropriées à la défense du périmètre selon la politique choisie. Mais déjà
que les dispositifs techniques ne pourront pas résoudre tous les problèmes de sécurité, et, de
surcroît, la notion même de périmètre de sécurité est aujourd’hui battue en brèche par des
phénomènes comme la multiplication des ordinateurs portables qui, par définition, se déplacent de
l’intérieur à l’extérieur et inversement, à quoi s’ajoute l’extraterritorialité de fait des activités sur
l’Internet.
[Link] Périmètre et frontière
La notion de périmètre de sécurité, ainsi que le signalait déjà l’alinéa précédent, devient de plus en
plus fragile au fur et à mesure que les frontières entre l’extérieur et l’intérieur de l’entreprise ainsi
qu’entre les pays deviennent plus floues et plus poreuses. Interviennent ici des considérations
topographiques : les ordinateurs portables entrent et sortent des locaux et des réseaux internes pour
aller se faire contaminer à l’extérieur ; mais aussi des considérations logiques.
La justice et les fournisseurs français d’accès à l’Internet (FAI) en ont fait l’expérience : un certain
nombre d’organisations ont déposé devant les tribunaux français des plaintes destinées à faire
cesser la propagation de pages Web à contenus négationnistes, effectivement attaquables en droit
français.
[Link] Ressources publiques, ressources privées
Les systèmes comportent des données et des programmes que nous considérerons comme des
ressources. Certaines ressources sont d’accès public, ainsi certains serveurs Web, d’autres sont
privées pour une personne, comme une boîte à lettres électronique, d’autres sont privées pour un
groupe de personnes, comme l’annuaire téléphonique interne d’une entreprise. Ce caractère plus
ou moins public d’une ressource doit être traduit dans le système sous forme de droits d’accès.
3
�1.3.2 Identifier et authentifier
Les personnes qui accèdent à une ressource non publique doivent être identifiées; leur identité doit
être authentifiée ; leurs droits d’accès doivent être vérifiés au regard des habilitations qui leur ont
été attribuées : à ces trois actions correspond un premier domaine des techniques de sécurité, les
méthodes d’authentification, de signature, de vérification de l’intégrité des données et
d’attribution de droits (une habilitation donnée à un utilisateur et consignée dans une base de
données
adéquate est une liste de droits d’accès et de pouvoirs formulés de telle sorte qu’un système
informatique puisse les vérifier automatiquement).
La sécurité des accès par le réseau à une ressource protégée n’est pas suffisamment garantie par la
seule identification de leurs auteurs. Sur un réseau local de type Ethernet où la circulation des
données fonctionne selon le modèle de l’émission radiophonique que tout le monde peut capter
(enfin, pas si facilement que cela, heureusement), il est possible à un tiers de la détourner. Si la
transmission a lieu à travers l’Internet, les données circulent de façon analogue à une carte postale,
c’est-à-dire qu’au moins le facteur et la concierge y ont accès. Dès lors que les données doivent
être protégées, il faut faire appel aux techniques d’un autre domaine de la sécurité informatique :
le chiffrement.
Authentification et chiffrement sont indissociables : chiffrer sans authentifier ne protège pas des
usurpations d’identité (comme notamment l’attaque par interposition, dite en anglais attaque de
type man in the middle), authentifier sans chiffrer laisse la porte ouverte au vol de données.
1.3.3 Empêcher les intrusions
Mais ces deux méthodes de sécurité ne suffisent pas, il faut en outre se prémunir contre les
intrusions destinées à détruire ou corrompre les données, ou à en rendre l’accès impossible. Les
techniques classiques contre ce risque sont l’usage de pare-feu (firewalls) et le filtrage des
communications réseaux, qui permettent de protéger la partie privée d’un réseau dont les stations
pourront communiquer avec l’Internet sans en être « visibles » ; le terme visible est ici une
métaphore qui
exprime que nul système connecté à l’Internet ne peut de sa propre initiative accéder aux machines
4
�du réseau local (seules ces dernières peuvent établir un dialogue) et que le filtre interdit certains
types de dialogues ou de services, ou certains correspondants (reconnus dangereux).
Pour couper court à toutes ces querelles autour des qualités respectives de telle ou telle méthode
de sécurité, il suffit d’observer l’état actuel des menaces et des vulnérabilités. Il y a encore une
dizaine d’années, le paramétrage de filtres judicieux sur le routeur de sortie du réseau d’une
entreprise vers l’Internet pouvait être considéré comme une mesure de sécurité bien suffisante à
toutes fins pratiques. Puis il a fallu déployer des antivirus sur les postes de travail. Aujourd’hui,
les CERT (Computer Emergency Response Teams, pour une description de ces centres de
diffusion d’informations de sécurité informatique) publient une dizaine de vulnérabilités nouvelles
par semaine, et l’idée de pouvoir se prémunir en flux tendu contre toutes est utopique. La
conception moderne de la protection des systèmes et des réseaux s’appuie sur la notion de défense
en profondeur, par opposition à la défense frontale rigide, où l’on mise tout sur l’efficacité absolue
d’un dispositif unique.
1.3.4 Défense en profondeur
La défense en profondeur consiste à envisager que l’ennemi puisse franchir une ligne de défense
sans pour cela qu’il devienne impossible de l’arrêter ; cette conception s’impose dès lors que les
moyens de frappe à distance et de déplacement rapide, ainsi que le combat dans les trois
dimensions, amènent à relativiser la notion de ligne de front et à concevoir l’affrontement armé
sur un territoire étendu. Plus modestement, la multiplication des vulnérabilités, la généralisation
des ordinateurs portables qui se déplacent hors du réseau de l’entreprise, l’usage de logiciels
novateurs (code mobile, peer to peer, sites interactifs, téléphonie et visioconférence sur IP) et
d’autres innovations ont anéanti la notion de « périmètre de sécurité » de l’entreprise, et obligent
le responsable SSI à considérer que la menace est partout et peut se manifester n’importe où. Il
faut continuer à essayer d’empêcher les intrusions dans le SI de l’entreprise, mais le succès de la
prévention ne peut plus être garanti, et il faut donc se préparer à limiter les conséquences d’une
attaque réussie, qui se produira forcément un jour. Et ce d’autant plus que le SI contemporain n’est
pas comme par le passé contenu par un « centre de données » monolithique hébergé dans un
bunker, mais constitué de multiples éléments plus ou moins immatériels qui vivent sur des
ordinateurs multiples, dispersés dans toute l’entreprise et au dehors ; et c’est cette nébuleuse qu’il
faut protéger.
5
�1.4 Aspects organisationnels de la sécurité
À côté des mesures techniques destinées à assurer la protection des systèmes et des réseaux, la
sécurité du SI comporte un volet humain et social au moins aussi important : la sécurité dépend en
dernière analyse des comportements humains et, si les comportements sont inadaptés, toutes les
mesures techniques seront parfaitement vaines parce que contournées.
1.4.1 Abandon des utilisateurs inexpérimentés
Idéalement, dans une entreprise, aucun utilisateur ne devrait être laissé « à l’abandon », c’est-à-
dire avec un accès incontrôlé au réseau de l’entreprise et à ses communications avec l’Internet, il
devrait y avoir dans chaque groupe de travail un correspondant informatique en contact avec les
responsables des infrastructures et du réseau. En l’absence d’une telle structure d’échanges, les
phénomènes les plus dangereux ne manqueront pas de proliférer, et de ce moment surgiront les
incidents les plus graves.
La nature du « contact » entre le correspondant informatique et les responsables du SI et des
infrastructures pourra dépendre du type d’organisation : dans une entreprise assez centralisée et
hiérarchisée la fonction de correspondant informatique sera définie en termes opérationnels, il aura
des directives précises à appliquer et devra rendre compte de leur application ainsi que de tout
problème informatique qui pourrait survenir. Dans une entreprise à la structure plus lâche, un
organisme
de recherche par exemple, la mise en place d’une telle organisation peut se révéler
difficile, les relations de contact seront moins formelles, mais il sera néanmoins
important qu’elles existent, ne serait-ce que par des conversations régulières au
pied de la machine à café.
