M107 – SÉCURISER UN SYSTÈME D'INFORMATION

DÉCOUVRIR LES NOTIONS DE BASE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION (SI)

DÉCOUVRIR LES NOTIONS DE BASE DE LA
SÉCURITÉ DES SYSTÈMES D’INFORMATION
(SI)
 CONNAÎTRE LES CONCEPTS DE BASE DE LA SÉCURITÉ INFORMATIQUE

Ce que vous allez apprendre dans ce chapitre :

• Mettre l’accent sur l’importance de la sécurité dans un SI
• Comprendre la terminologie de la sécurité informatique
• Définir les objectifs et les propriétés de la sécurité informatique

1. Importance de la sécurité dans les SI

2. Terminologie et définitions
3. Objectifs et propriétés de la sécurité
4. Quiz sur les notions de base de la sécurité informatique
 Importance de la sécurité dans les SI

• De nous jours, les organisations comptent beaucoup sur l’utilisation des nouvelles technologies afin d’acquérir
une meilleur efficacité et productivité dans l'exécution de leurs tâches quotidiennes. En effet, l’utilisation des
équipements informatiques (tel que les ordinateurs, les supports de stockages, etc.), des systèmes d’information
(tel que les systèmes d’information opérationnels, les systèmes d’aide à la décision, les systèmes de gestion, etc.),
et du réseau Internet sont devenus primordiaux dans la plupart de organisations.

• Cependant, les nouvelles technologies, plus particulièrement Internet, exposent leurs utilisateurs à plusieurs
attaques de sécurité. En plus des technologies (informatique, internet, et ses services) qui évoluent en parallèle
avec les attaques de sécurité et leurs diversifications.

• La figure suivante illustre les statistiques annuelles et agrégées pour les plaintes et les pertes financières depuis
l’année 2016 jusqu’à 2020. Au cours de cette période, Internet Crime Complaint Center (IC3) a reçu un total de 2
211 396 plaintes, faisant état d'une perte de 13,3 milliards de dollars.
• Ces statistiques illustrent l’augmentation du nombre des plaintes chaque année. Notamment, il est possible de
remarquer que le nombre de plaintes a presque doublé en 2 ans (de 2018 à 2020).

• Un système d’information contient généralement toutes les informations sensibles d’une entreprise, y compris
les informations relatives à son fonctionnement, sa clientèle, ses produits, etc.

• Certaines attaques de sécurité visant les systèmes d’information peuvent causer une suppression, altération,
falsification, ou diffusion des informations sensibles dont elles effectuent leurs traitements. Ce qui pourrait induire
plusieurs risques graves à l’entreprise tel que pertes financières, perte de la confiance de sa clientèle, perte de son
image de marque, etc.

• Par conséquent, la protection des systèmes d’information contre les attaques de sécurité est primordiale.

• La protection des systèmes d'information et leurs résistances aux attaques de sécurité permet à leur entreprise de :
Garantir la protection des informations sensibles ;
Assurer la continuité de ses activités et par conséquent préserver la confiance de ses clients ;
Se protéger contre les risques potentiels.
 Terminologie et définitions

• La sécurité fait référence à l’ensemble des outils, méthodes, et/ou techniques permettant de protéger des actifs
contre des dommages potentiels et le rendre sûr.
• Différentes classes de sécurité peuvent être distinguées :
La sécurité de l’information : adresse la protection des informations (ou des données) dans tous les processus de
traitement de l’information contre les dommages potentiels tel que la falsification, la suppression, ou la diffusion de
l’information aux entités non autorisés.
La sécurité physique : se réfère au contrôle de l'accès physique aux ressources matérielles et/ou logicielles et à leurs
protections contre les dommages physiques et le vol, grâce à l'utilisation des outils et/ou techniques de défense.
La sécurité informatique : adresse la protection d'un système informatique par la prévention, la détection et la
réduction des conséquences des actions non autorisées exécutées par les utilisateurs (autorisés et/ou non
autorisés). Elle adresse également la protection de l’information durant son traitement et son stockage.
La sécurité des communications : consiste à protéger : - Les systèmes informatiques connectés à un réseau de
communication (tel que le réseau internet). - Les informations circulant dans un réseau informatique contre les
dommages potentiels.
La sécurité opérationnelle : consiste à protéger les opérations d’une organisation pour empêcher les dommages
potentiels visant les informations sensibles échangés (ou traités ) durant une opération. La sécurité opérationnelle
se réfère à la mise en place des mesures de sécurité suite à un processus de gestion de risques. Un processus de
gestion de risque analyse les opérations d’une organisation du point de vue pirate, pour identifier les risques de
sécurité.
• Partant des définitions précédentes, il est possible de noter que les quatre classes de sécurité (sécurité physique,
sécurité informatique, sécurité des communications, et sécurité opérationnelle) sont indispensables pour assurer la
sécurité de l’information. Par conséquent, ces quatre classes de sécurité peuvent être considérées comme sous-
classes de la sécurité de l’information, comme illustré dans la figure suivante.
 Actifs

Un actif se réfère à tout ce qui a de la valeur pour une entité (une organisation ou une personne) et qui nécessite donc
d’être protégé par des mesures de sécurité. Un actif peut être définit comme un bien, ayant la forme d’une donnée,
appareil, ou composant, qui pourrait être consulté, utilisé, divulgué, détruit et/ou volé de manière illicite et entraîner
une perte.
Différent types d’actifs peuvent être distingués :
• Actifs matériels : Ce sont les biens matériels qui exécutent des tâches spécifiques et/ou fournissent des produits. Les
actifs matériels incluent des serveurs physiques, des postes de travail, des supports amovibles, des équipements de
réseau, etc…
• Actifs logiciels : Ce sont les bien logicielles qui exécutent des tâches de traitement des informations pour les
transformer sous formes de données prêtes à être utilisées. Les actifs logiciels incluent les applications, les systèmes
d'exploitation, les logiciels de virtualisation, les systèmes de gestion de base de données, les systèmes d'aide à la
décision, etc…
• Actifs informationnels : Ce sont les biens qui sont liés directement aux informations ou à leurs stockages, tels que les
bases de données, les systèmes de fichiers, les informations de routage, etc…
• Actifs commerciaux : Ce sont les autres biens d’une organisation qui ne rentrent pas dans les trois types d’actifs
précédents (c.à.d., matériels, logiciels, et informationnels). Les actifs commerciaux incluent le capital humain, la
réputation, l'image de l'organisation, etc…
• Vulnérabilité : La faiblesse d’un actif (ou d’une ressource) l’expose à des
menaces internes et externes pouvant entraîner des défaillances ou des
violations. Les faiblesses peuvent être inhérentes à la conception, à la
configuration, ou à la mise en œuvre d’un actif. Les mauvaises pratiques lors de
l’utilisation d’un actif, tel que l’utilisation des mots de passes faibles pour
accéder à cet actif, peuvent être aussi des sources de faiblesses

• Menace : Un potentiel de violation de la sécurité

qui pourrait exploiter une ou plusieurs
vulnérabilités d’un actif pour l’endommager.

• Attaque : Une action ou un évènement non autorisée

délibérée sur un actif pour causer son dysfonctionnement ou
l’altération de l’information qu’il stocke.
 Acteur de menace, Victime, Risque et Contre-mesures

• Acteur de menace (Agent de menace) : Une entité qui exécute et réalise une action de menace. Un agent de menace
peut être : une personne ou groupe de personnes qui sont souvent des employés de l’entreprise ou des pirates ; un
programme malveillant tel que les virus ; ou la nature lorsque la menace réalisée est une menace naturelle comme les
tempêtes ou les inondations.
• Victime : La cible d’une attaque de sécurité. Elle est généralement une entité (une personne, groupe de personnes,
organisations) qui possède un ou un ensemble d’actifs menacés par des attaques de sécurité.
• Risque : Une mesure qui évalue la combinaison du niveau de la gravité des conséquences de l’apparition d’une attaque
de sécurité et la probabilité d’occurrence associée (c.à.d., la probabilité qu'une menace particulière exploite une
vulnérabilité donnée).
• Mesures de sécurité (Contre-mesures) : Les techniques, méthodes, et/ou outils permettant la détection, la prévention
ou la récupération des attaques de sécurité.
 Terminologie et relations

• La figure suivante illustre les relations entre les différents

termes qui ont été présentés précédemment. Ces relations sont
détaillées ci-après • Un acteur de menace exécute des menaces,
qui sont généralement concrétisées par un ensemble d’attaques
de sécurité, en exploitant des vulnérabilités. • Les actifs qui
souffrent de la présence des vulnérabilités sont exposés à des
risques potentiels. • Pour protéger les actifs contre les menaces
de sécurité et atténuer les risques potentiels, il est possible de
mettre en place un ensemble de mesures de sécurité (contre-
mesures). • Une victime est la cible d’une attaque. Elle possède
des actifs qui pourraient être endommagés par des menaces de
sécurité
 Objectifs et propriétés de la sécurité

Pour assurer la sécurité de l’information, au moins les trois principaux objectives de la sécurité (souvent appelés
triade DIC), que sont la disponibilité, l’intégrité et la confidentialité, doivent être atteints. La définition de ces
trois objectives est fournie par la suite :
• Disponibilité : exige qu’une ressource soit disponible et/ou
fonctionnelle lorsqu' une entité autorisée la demande ;
• Intégrité : exige que les actifs n’ont pas été modifié, détruit,
falsifié, ou perdu d’une manière non autorisée ou accidentelle ;
• Confidentialité : exige que les données ne soient pas
divulguées aux entités à moins qu'elles n'aient été autorisées à
accéder et à connaitre ces données.

Lorsqu’un objectif de sécurité est assuré, il est souvent appelé

propriété de sécurité.
 Liste exhaustive des objectives de sécurité

Une liste exhaustive d'objectifs relatifs à la sécurité de l’information comprend, en plus des objectives DIC, les
éléments suivants :
• Authenticité : exige d'être authentique et de pouvoir être vérifié, et digne de confiance. En d’autres termes,
l’authenticité exige de vérifier que les identités fournies par les entités (utilisateurs ou processus) demandant
accès à une ressource ne sont pas fausses et que ces entités sont bien ce qu’elles prétendent être ;
• Contrôle d'accès: exige que l'accès à un actif ou une ressource soit contrôlée pour assurer que l’accès n’est
possible que pour les entités autorisées ;
• Non-répudiation : exige que les entités participantes à un évènement ou exécutant une action (tel que
l’échange des messages , l’exécution des transactions, etc.) ne peuvent pas nier leur participation à cet
évènement, ou l’exécution de cette action, respectivement. Cet objectif pourrait être atteint, en exigeant aux
entités de fournir une preuve d’identité avant de participer à un évènement ou exécuter une action ;

• Traçabilité : exige de suivre les actions exécutées par une entité durant son accès à un actif et de journaliser
des informations décrivant les actions exécutées (tel que la durée d’accès, la nature des actions, les données
utilisées, etc.) et que les actions exécutées peuvent être attribuées uniquement à cette entité, qui peut alors
être tenue responsable de ses actions
 Quiz sur les notions de base de la sécurité informatique
• Question 1 : Quelle est la propriété de sécurité qui garantie qu'un actif est accessible uniquement aux entités
autorisées ?
❑ La confidentialité
❑ L’intégrité
❑ La disponibilité
❑ L’authenticité
• Question 2 : Quelle est la propriété de sécurité qui consiste à assurer qu’un actif devra répondre aux
demandes des entités autorisées ?
❑ La confidentialité
❑ L’intégrité
❑ La disponibilité
❑ L’authenticité
• Question 3 : Un agent de menace peut être :
❑ Un employé
❑ Un logiciel malveillant
❑ Un pirate
❑ Toutes les réponses sont correctes
• Question 4 : Toutes les informations sensibles d’une organisation (tel que chiffre d’affaires, clientèle, produits,
etc.) peuvent être considérées comme actif ?
❑ Vrai
❑ Faux
 Correction

• Question 1 : Quelle est la propriété de sécurité qui garantie qu'un actif est accessible uniquement aux entités
autorisées ?
 La confidentialité
❑ L’intégrité
❑ La disponibilité
❑ L’authenticité
• Question 2 : Quelle est la propriété de sécurité qui consiste à assurer qu’un actif devra répondre aux demandes
des entités autorisées ?
❑ La confidentialité
❑ L’intégrité
 La disponibilité
❑ L’authenticité
• Question 3 : Un agent de menace peut être :
❑ Un employé
❑ Un logiciel malveillant
❑ Un pirate
 Toutes les réponses sont correctes
• Question 4 : Toutes les informations sensibles d’une organisation (tel que chiffre d’affaires, clientèle, produits,
etc.) peuvent être considéré comme actif ?
 Vrai
❑ Faux