Etablissement Inter – Etats d’Enseignement Supérieur

CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA

BP : 13719Yaoundé (Cameroun) Tel. (237) 22 72 99 57 Site web : www.iaicameroun.com
E-mail : [email protected]

COURS DE SECURITE INFORMATIQUE

Classes : L2 durée : 30 heures

Année académique : 2024-2025

Enseignant : M. NGOULOU ZENOBE

Objectifs généraux du cours :

Le but de ce cours consiste à :
Se familiariser avec les concepts de la sécurité informatique ;
Connaitre et implémenter quelques techniques de sécurité réseaux et Systèmes ;
Connaitre quelques risques liés aux attaques sur les systèmes d'information ;
Identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les
méthodes permettant d'y faire face ;
Connaître les différents services de sécurité ;
Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques.

Objectifs spécifiques du chapitre : permettre aux étudiants de connaitre le but et quelques

concepts de base de sécurité :
Connaitre ce que c’est que la sécurité informatique
Maitriser les concepts de base de sécurité
Connaitre la démarche de sécurité
CHAPITRE 1 : GENERALITE SUR LA SECURITE
INFORMATIQUE

INTRODUCTION

La sécurité des informations a toujours constitué un enjeu majeur dans les relations entre
les hommes. L’information est au centre de toutes les communications et par conséquent toute
entité possédant cette ressource fondamentale devrait prendre des précautions pour s’en
protéger. L’évolution de la technologie et particulièrement l’informatique a accentué davantage
la méfiance qui existe dans les relations humaines. Nous vivons aujourd’hui dans un monde où
toute transaction ou échange d’information doit être garantie d’une mesure de sécurité.

1. Définitions
La sécurité d’une manière générale est un ensemble de techniques et moyens mis en
place pour Empêcher à une personne non autorisée à accéder à une information qui ne lui est
pas destinée. La sécurité vise donc à sécuriser :
L’émetteur :il s’agit de l’objet qui initie la communication. Cet objet peut être un
processus, un système d’exploitation, un utilisateur, un navigateur, une application
etc…
Le récepteur : il s’agit de l’objet qui reçoit la communication. Cet objet peut être un
processus, un système d’exploitation, un utilisateur, un serveur etc…
Le canal de communication : il s’agit du moyen par lequel l’émetteur et le récepteur
communique. Il s’agit d’un canal sans fil, d’un canal filaire, de la mémoire, etc…
Des protocoles de communication : Il s’agit d’un ensemble convenu de règles de
communication entre les deux communicateurs. Comme exemple, on peut avoir le
protocole HTTP (HyperText Transfer Protocol).
De prévenir un système d’information des attaques multiformes (gestion des risques)
D’empêcher qu’une attaque prenne effet (supervision (IDS))
De maintenir un système informatique en état de fonctionner normalement dans le but
de restreindre l’accès à certaines informations aux utilisateurs autorisés à les consulter.

2
 2. Quelques terminologies importantes en sécurité
Menace : c’est une action ou un événement. C’est la violation potentielle des mesures de
sécurité d’un réseau. Une menace peut affecter l’intégrité ou la disponibilité d’une
information ;
Vulnérabilité : elle représente, une faiblesse ou une brèche au sein du système
d’information d’une entreprise. Elle est due à une erreur de conception ou
d’implémentation qui une fois exploitée, permet de compromettre la sécurité du système ;
Attaque : toute action qui consiste à s’introduire au sein du système informatique à travers
une vulnérabilité. C’est donc toute action qui va violer les mesures de sécurités mises en
place afin de prendre le contrôle d’un système ;
Un système informatique est l’ensemble d’équipements informatiques mis en commun
dans le but de traiter l’information ;
Un système d’information est l’ensemble des éléments participant à la gestion, au
traitement, au transport, au stockage et à la diffusion de l’information au sein d’une
organisation ;
L’information veut dire renseignement ou élément de connaissance susceptible d’être
représentée sous forme adaptée à un enregistrement ou à la communication d’un message

3. Les facteurs de causalité des problèmes de sécurité

Plusieurs facteurs sont à l’origine des problèmes généralement rencontrés en entreprises.
On peut citer :
La Mauvaise configuration des applications et hardware présent au sein du réseau. Par
exemple, l’usage des protocoles non sécurisés tels que telnet et FTP peuvent constituer des
failles pouvant être exploitées par un attaquant.
La conception non sécurisée des réseaux informatiques
Les technologies utilisées, si les logiciels ou le dispositif matériel qu’on utilise n’est pas
adaptée à certaines menaces, le réseau sera vulnérable.
Le manque de sensibilisation
Les actes intentionnels causés par les employés qui ne sont pas satisfais du traitement
dont ils font l’objet.
 4. Démarche de la sécurité
La sécurité informatique a pour but de garantir pour une information donnée les services de
base
La sécurité renvoie à une chaine de valeurs constituée des utilisateurs, des informations
et du matériel qui doivent être protégés afin de garantir la sécurité du système d’information.
Pour atteindre ce but, nous devons faire appel à une démarche clairement définie.
La sécurité d’un système d’information obéit à des règles, logiques ou méthodes qu’on
peut Résumer en cinq étapes à savoir : la protection, la supervision, la détection, l’analyse et la
réponse.
La protection : Le processus visant à empêcher les intrus d'accéder aux ressources du
système. Les barrières incluent les pares-feux, les zones démilitarisées (DMZ) et
l'utilisation d'éléments d'accès comme les clés, les cartes d'accès, la biométrie et autres
pour ne permettre l’accès aux ressources qu’aux utilisateurs autorisés ;
La supervision : examiner et récolter n’importe quelle information relative aux
anomalies au sein du réseau informatique telles que les attaques, les accès non autorisés.
La détection : la détection se produit lorsque l'intrus a réussi ou est en train d'accéder
au système. Les alertes à l'existence d'un intrus représentent sont exploitées comme
signal de détection. Parfois, ces alertes peuvent être en temps réel ou stockées pour une
analyse approfondie par le personnel de sécurité. Les systèmes de détection d’intrusion
en général et les antivirus en particulier sont des exemples ;
L’analyse : elle implique différentes actions et méthodes qui ont pour but de confirmer
un incident, de trouver la cause initiale et de pouvoir planifier les différentes actions à
prendre face à cet incident
La réponse : Il s’agit d’un mécanisme post-effet qui tente de répondre à l'échec des
quatre premiers mécanismes. Cela fonctionne en essayant d’arrêter et / ou empêcher de
futurs dommages ou l'accès à une installation. La réponse est très importante pour
ralentir la contamination de l’infiltration.

4
 5. Les services de sécurités
Toute manipulation de l’information doit tenir compte de ces critères. Ces concepts
constituent Donc les fondamentaux de la sécurité.
La confidentialité : C’est la Propriété d’une information qui n’est ni disponible, ni
divulguée aux personnes, entités ou processus non autorisés. Certains des moyens les
plus couramment utilisés pour gérer la confidentialité comprennent les listes de contrôle
d'accès, le chiffrement des volumes et des fichiers et les autorisations de fichiers Unix.
La confidentialité est garantie par les algorithmes à chiffrement symétrique et
asymétrique.
L'intégrité : C’est la Garantie que le système et l’information traitée ne soient modifiés
que par une action volontaire et légitime.
La disponibilité : C’est la Capacité à assurer le fonctionnement sans interruption, délai
ou dégradation, au moment où la sollicitation en est faite.
L’Authentification : Elle permet de vérifier l'identité revendiquée par une entité, ou
l'origine d'un message, ou d'une donnée.
La non répudiation : Le service de non répudiation exploite les autres services. Ce
service de sécurité fournit une preuve d'origine et la prestation de services et/ou
d'informations. Il empêche l'expéditeur ou le destinataire de refuser un message
transmis. Ainsi, lorsqu'un message est envoyé, le destinataire peut prouver que
l'expéditeur présumé a effectivement envoyé le message. Pour illustrer cela, prenons le
système de guichet automatique. Une opération bancaire lancée à partir de votre carte
ne peut être réfutée. Les moyens pour le garantir peuvent être la signature numérique et
les algorithmes cryptographiques.
On peut aussi citer des critères secondaires tels que le contrôle d’accès et la traçabilité.
Tout système doit pouvoir vérifier l’identité et les droits d’un utilisateur afin de l’admettre dans
le système et Permettre de savoir qui a fait quoi. Parmi les services cités ci-dessus on peut les
restreindre en trois principaux et incontournables en sécurité : il s’agit de la confidentialité,
l’intégrité et la disponibilité
 6. Notion de politique de sécurité
6.1. Définitions

La politique de sécurité est un plan d’actions définissant la démarche ou la méthode

utilisée pour réduire le risque. Elle est matérialisée dans un document qui reprend les enjeux,
objectifs, analyses, actions et procédures faisant partir de cette démarche. La politique de
sécurité est dictée par les cadres supérieurs de l’entreprise décrivant le rôle de la sécurité au
sein de l'entreprise afin d'assurer les objectifs d'affaire.
La sécurité de l'information s'obtient par la mise en œuvre d'un ensemble de mesures de
sécurité applicables. Ces mesures sont définies par l’Organisation internationale de
normalisation (ISO). La suite ISO/CEI 27000 (Famille des standards SMSI (Système de
Management de la Sécurité de l’Information) ou ISO27k) comprend les normes de sécurité de
l'information publiées conjointement par l'Organisation internationale de normalisation (ISO)
et la Commission électrotechnique internationale (CEI, ou IEC en anglais).

Source: https://www.utc.fr/master-
qualite/public/publications/qualite_et_management/MQ_M2/2017-
2018/MIM_projets/qpo12_2018_gr08_secu_info/index.html

6
 6.2. Principes essentiels qui contribuent au SMSI
1) La sensibilisation à la sécurité de l’information ;
2) L’attribution des responsabilités liées à la sécurité de l’information ;
3) La prise en compte de l'engagement de la direction et des intérêts des parties prenantes ;
4) La consolidation des valeurs sociétales ;
5) Les appréciations du risque déterminant les mesures de sécurité appropriées pour arriver à
des niveaux de risque acceptables ;
6) L’intégration de la sécurité comme élément essentiel des systèmes et des réseaux
d’information ;
7) La prévention et la détection actives des incidents liés à la sécurité de l’information ;
8) L’adoption d'une approche globale du management de la sécurité de l’information ;
9) Le réexamen continu de l'appréciation de la sécurité de l'information et la mise en œuvre de
modifications le cas échéant.
L’une des vulnérabilités les plus présente au sein des entreprises consiste en une
mauvaise Définition d’une politique de sécurité, on peut citer entre autres :
La non transcription écrite de la politique de sécurité ;
Il n’y a pas d’amélioration de la politique de sécurité ;
Le traitement salarial et comportemental des employés ;
Le manque de sensibilisation.
Pour mettre en œuvre ces politiques, il faut qu’une bonne organisation soit mise en
place et que les rôles, les responsabilités et les imputabilités des uns et des autres soient bien
définis.

Conclusion
On peut remarquer que la sécurité informatique renvoie à une chaine de valeurs
constituée de plusieurs maillons. Chaque maillon est un élément plus ou moins vulnérable du
système qu’il faut protéger. Le maillon le plus essentiel dans cette chaine est l’homme, c’est lui
qui est au centre de tout et par conséquent ses capacités à renforcer le système doivent être
améliorées en tout temps. Le but principal de la sécurité est de protéger l’information. Cette
information doit être transmise par des canaux sures afin d’en garantir la confidentialité, raison
pour laquelle La sécurité réseau en ait une nécessité.
8
 45
6