INTRODUCTION A LA

SÉCURITÉ
INFORMATIQUE
DEFINITION LES PRINCIPAUX OBJECTIFS DE LA SÉCURITÉ
INFORMATIQUE SONT :
La sécurité informatique
désigne l'ensemble des [Link]é : Assurer que l'information est
mesures, pratiques et accessible uniquement aux personnes autorisées.
technologies mises en place [Link]égrité : Garantir que l'information n'est ni
pour protéger les systèmes modifiée, ni altérée de manière non autorisée.
informatiques, les réseaux, [Link]é : S'assurer que les informations et
les données et les les systèmes sont disponibles et accessibles
informations contre les lorsqu'ils sont nécessaires.
menaces, les attaques, les [Link]é : Vérifier l'identité des utilisateurs,
erreurs humaines et les des systèmes ou des services.
incidents qui pourraient [Link]çabilité : Permettre de suivre les actions
nuire à leur confidentialité, effectuées sur les systèmes pour détecter les
intégrité, disponibilité et comportements suspects ou malveillants.
performance.
 TERMINOLOGIE

1. ACTIF

Un actif est tout élément, matériel ou immatériel, qui possède de la valeur pour
une organisation et qui nécessite une protection contre les menaces potentielles.
Les actifs peuvent inclure :
• Matériel : serveurs, ordinateurs, équipements réseau, etc.
• Logiciels : applications, systèmes d'exploitation, bases de données, etc.
• Données : informations sensibles, documents, bases de données, etc.
• Personnel : utilisateurs, administrateurs, etc.

La protection de ces actifs est essentielle pour garantir la sécurité globale du

Une vulnérabilité est une faiblesse ou une faille dans un système qui peut
être exploitée par une menace pour causer un dommage ( Une faiblesse au
niveau d’un actif). Cela peut inclure :
• Une erreur dans le code d’un logiciel.
• Une configuration incorrecte d’un système.
• Un défaut de sécurité, comme un mot de passe trop faible.
• Manque d’antivirus ou en avoir mais pas a jours
Les vulnérabilités peuvent exister dans le matériel, le logiciel ou les processus.

Le Pentest
Le pentest consiste à rechercher, identifier et exploiter les faiblesses de sécurité d'un
système informatique de manière contrôlée et autorisée, dans le but d'aider l'entreprise à
corriger ces failles avant qu'elles ne soient exploitées par des attaquants réels. Les tests
sont généralement effectués par des experts en sécurité (souvent appelés "pentesters"
ou "ethical hackers") qui utilisent les mêmes techniques qu'un pirate informatique, mais
dans un cadre légal et pour un objectif de protection.
Types de Pentests :
[Link] réseau : Teste la sécurité Phases d'un Pentest :
des réseaux internes et externes (pare- [Link] (ou reconnaissance) :
feu, serveurs, points d'accès, etc.). Recherche d'informations publiques sur la cible
[Link] d'applications web : (par exemple, par des recherches sur Internet ou
Focalisé sur les vulnérabilités des des scans).
applications web (ex. injection SQL, [Link] et découverte : Identification des
XSS, etc.). systèmes, services et ports ouverts sur le réseau
[Link] d'infrastructure : Évalue cible.
la sécurité des équipements physiques [Link] : Tentatives d'exploitation des
et des systèmes d'exploitation. vulnérabilités identifiées pour pénétrer dans les
[Link] sans connaissance systèmes.
préalable (Black Box) : L'équipe de [Link] des privilèges : Si l'accès initial est
test ne dispose d'aucune information limité, l'attaquant tente d'augmenter ses privilèges
sur l'infrastructure cible avant de pour obtenir un contrôle total.
commencer l'attaque. [Link] de l'accès : L'attaquant cherche à
[Link] avec connaissance installer des portes dérobées ou des backdoors
préalable (White Box) : L'équipe a un pour maintenir l'accès même après la détection.
accès complet aux informations sur [Link] post-attaque : Documentation des
l'infrastructure cible, comme les vulnérabilités exploitées et des actions réalisées,
schémas réseau et le code source. pour que l'entreprise puisse y remédier.
[Link] à accès limité (Gray Box)
: L'équipe dispose de certaines
informations (par exemple, un accès
utilisateur limité), mais pas de tous les
Objectifs du Pentest : Exemple d'un cas de Pentest :
•Identifier les Imaginons qu'une entreprise veuille tester la
vulnérabilités : Repérer les sécurité de son application web de commerce en
failles de sécurité qui ligne. Un pentester pourrait :
pourraient être exploitées par •Scanne les serveurs pour identifier les ports
des attaquants. ouverts et les services actifs.
•Évaluer les risques : Estimer •Tester les pages web pour rechercher des
la probabilité qu'une vulnérabilités comme des injections SQL (où un
vulnérabilité puisse être attaquant pourrait manipuler les requêtes de base
exploitée et les conséquences de données) ou des XSS (où un attaquant injecte
d'une telle exploitation. du code malveillant dans une page web visible par
•Améliorer la sécurité : d'autres utilisateurs).
Fournir des recommandations •Tenter d'accéder à des zones sécurisées de
pratiques pour corriger les l'application, comme l'administration, en utilisant
failles découvertes et renforcer des attaques par force brute ou des mots de
la sécurité du système. passe faibles.
•Vérifier les mesures de Une fois les tests réalisés, un rapport détaillé est
sécurité existantes : Tester fourni à l’entreprise, incluant les vulnérabilités
l'efficacité des protections déjà découvertes, les méthodes d’exploitation utilisées
mises en place (pare-feu, et des recommandations pour sécuriser
antivirus, etc.). l'application.
 4. Menace 5. Risque
[Link]
Une menace est un danger potentiel qui Le risque est la probabilité qu'une
Un incident de sécurité pourrait exploiter une vulnérabilité pour menace exploite une vulnérabilité
informatique fait référence à tout causer un dommage à un actif. Les pour causer un incident. Il est
événement qui compromet la menaces peuvent être de différentes souvent exprimé comme une
confidentialité, l’intégrité ou la natures : combinaison de la probabilité
disponibilité des actifs d’un système d'occurrence d'un événement et de la
 Nature humaine : pirates
d'information. Il peut s'agir d'un : gravité de son impact. Autrement dit,
informatiques (hackers), employés
 Accès non autorisé à des le risque peut être calculé comme
malveillants, erreurs humaines.
données sensibles. suit :
 Nature naturelle : incendies,
 Perte de données ou corruption  Risque = Probabilité de
inondations, catastrophes naturelles.
de celles-ci. survenance de la menace x
 Nature technologique : défaillances
 Panne système ou défaillance de Impact potentiel de cette
matérielles, attaques DDoS, etc. menace.
sécurité.
Les menaces peuvent être Les organisations cherchent à évaluer
Un incident peut être mineur ou externe (comme un pirate
majeur, et nécessite souvent une et à gérer les risques pour minimiser
externe) ou interne (comme un les dommages potentiels, notamment
réponse immédiate pour minimiser employé malveillant ou
les impacts. à travers des stratégies de prévention,
négligent). de détection et de réaction.
6. Attaque
Une attaque est une tentative délibérée d'exploiter une vulnérabilité pour causer un dommage, obtenir un accès non
autorisé ou perturber un système. Les attaques peuvent se présenter sous plusieurs formes :
 Attaque par phishing : envoi de faux messages pour tromper les utilisateurs et obtenir leurs informations sensibles.
 Attaque par déni de service (DDoS) : saturation des serveurs ou des réseaux pour les rendre inaccessibles.
 Malware : virus, chevaux de Troie, ransomware, etc., qui peuvent infecter des systèmes et compromettre des données.
Une attaque peut être réalisée par un attaquant extérieur (hackers, cybercriminels) ou interne (employés mécontents).
A. Virus B. Cheval de Troie C. Ransomware (ou
Un virus est un programme Un cheval de Troie est un rançongiciel)
malveillant qui se propage programme malveillant qui Un ransomware est un type de
en infectant d'autres fichiers se fait passer pour un logiciel malveillant qui bloque
ou programmes sur un fichier ou un logiciel l'accès aux fichiers ou au
ordinateur. Il peut légitime, mais qui, une fois système de l'utilisateur et exige
endommager les fichiers, exécuté, permet à un un paiement (la "rançon") pour
ralentir le système ou voler attaquant d'accéder à rétablir l'accès.
des informations l'ordinateur ou au réseau de Exemple :
personnelles. l'utilisateur, souvent à son Un utilisateur reçoit un e-mail
Exemple: insu. contenant un lien malveillant. En
Un fichier de programme, Exemple : cliquant dessus, un ransomware
comme un document Word, Un utilisateur télécharge un s'installe sur son ordinateur et
est infecté par un virus. jeu gratuit à partir d'un site chiffre tous ses fichiers
Lorsqu'un utilisateur ouvre douteux. En installant ce importants (documents, photos,
ce fichier, le virus s'exécute jeu, il ne se doute pas qu'un etc.). L'attaquant demande
et commence à infecter cheval de Troie s'installe ensuite une somme d'argent en
d'autres fichiers sur également sur son échange de la clé de décryptage
l'ordinateur. Le virus peut ordinateur, permettant à un pour restaurer les fichiers.
également se propager à attaquant d'avoir accès à
d'autres ordinateurs via des ses fichiers personnels,
pièces jointes d'e-mails sans que l'utilisateur ne
s'en rende compte.
7. Contre-mesure
Une contre-mesure est une action ou une technologie mise en place pour prévenir, détecter ou répondre à
un incident de sécurité. Elle vise à réduire les risques, à limiter les vulnérabilités ou à atténuer les
conséquences d'une attaque. Les contre-mesures peuvent inclure :
 Contrôles d'accès : authentification forte, gestion des privilèges utilisateurs.
 Cryptage : pour protéger la confidentialité des données. ( enygma a expliquer pour la seance
prochaine)
 Pare-feu et antivirus : pour protéger contre les menaces externes.
 Sauvegardes régulières : pour récupérer les données après un incident.
 Formation des utilisateurs : pour éviter les erreurs humaines, comme le phishing.
Les contre-mesures sont des éléments clés de la gestion de la sécurité informatique et de la réduction des
risques.
 LES SYSTÈMES D'INFORMATION
Un système d'information (SI) désigne un ensemble de ressources (humaines, matérielles, logicielles, et
organisationnelles) permettant de collecter, traiter, stocker, diffuser et utiliser l'information dans une
organisation afin de soutenir ses activités et sa prise de décision.

Composantes principales d'un système d'information :

• Matériel (Hardware) : Ce sont les équipements physiques qui permettent le stockage, le traitement et la
transmission de l'information. Cela inclut les serveurs, les ordinateurs, les réseaux et les dispositifs de
stockage (disques durs, etc.).

• Logiciels (Software) : Ce sont les applications et les programmes utilisés pour traiter et analyser
l'information. Par exemple, les systèmes de gestion de base de données (SGBD), les logiciels de
bureautique, ou les applications spécifiques à l'entreprise (comme les ERP - Enterprise Resource Planning).

• Données : Ce sont les informations collectées et traitées par le système. Cela inclut les données brutes (par
exemple, les chiffres de ventes, les enregistrements clients, etc.) et les informations dérivées après
traitement (rapports, prévisions, etc.).

• Procédures : Ce sont les règles et les processus qui définissent comment l'information est collectée,
traitée, stockée, et diffusée. Par exemple, la procédure pour gérer une commande client ou traiter une
facture.

• Personnes : Ce sont les utilisateurs du système, y compris les gestionnaires, les employés, les clients et les
fournisseurs, qui interagissent avec le SI pour prendre des décisions et accomplir des tâches.

• Réseaux de communication : Les réseaux permettent de transmettre l'information entre les différents
 Exemple pratique :
Types de systèmes d'information :
Dans une entreprise de vente en ligne, le
•Systèmes transactionnels : Ils gèrent les
système d'information pourrait comprendre :
processus quotidiens de l'entreprise, tels que
•Matériel : Serveurs web, ordinateurs pour
les systèmes de point de vente ou les systèmes
les employés, et équipements de réseau pour
de gestion des stocks.
garantir que les transactions sont sécurisées
•Systèmes de gestion de l'information
et rapides.
(SIG) : Ils aident à collecter, organiser, et
•Logiciel : Un logiciel de gestion de base de
analyser les informations pour produire des
données pour stocker les informations des
rapports destinés à la prise de décision.
clients et des produits, un système de gestion
•Systèmes d'aide à la décision (SAD) : Ces
des commandes, et une plateforme de CRM
systèmes fournissent des outils analytiques et
(Customer Relationship Management) pour
des modèles pour aider les gestionnaires à
suivre les interactions avec les clients.
prendre des décisions complexes basées sur
•Données : Les informations sur les produits,
des données.
les ventes, les clients, les stocks, etc.
•Systèmes d'information exécutifs (SIE) :
•Procédures : Des processus de commande,
Ils sont utilisés par les dirigeants pour obtenir
d'expédition, de facturation, etc.
des informations stratégiques et des indicateurs
•Personnes : Le personnel de support client,
clés de performance afin de prendre des
les gestionnaires des stocks, les responsables
décisions stratégiques.
des ventes, etc.
•Systèmes d'information collaboratifs : Ces
•Réseaux : Connexions entre le site web de
systèmes permettent la collaboration entre les
l'entreprise, les serveurs, et les bases de
membres d'une organisation, par exemple à
données pour assurer le bon fonctionnement
travers des plateformes de partage de
de la plateforme.
EXIGENCES FONDAMENTALES ET OBJECTIFS

Les objectifs fondamentaux et les exigences de la sécurité informatique sont

1. Confidentialité
•Objectif : Assurer que l'information soit accessible
uniquement aux personnes autorisées.
•Exigences :
• Contrôles d'accès stricts pour limiter l'accès aux
données.
• Chiffrement des données sensibles, tant au
repos qu'en transit.
• Authentification et gestion des identités
robustes.
2. Intégrité 3. Disponibilité
•Objectif : Assurer que les
•Objectif : Garantir que l'information informations et services soient
reste correcte et complète, et n'est pas accessibles et utilisables en temps
modifiée de manière non autorisée. voulu par les utilisateurs autorisés.
•Exigences : •Exigences :
• Mécanismes de détection des • Protection contre les
altérations, tels que les attaques par déni de service
signatures numériques et les (DDoS).
hachages. • Mise en place de solutions
• Systèmes de sauvegarde de redondance et de
réguliers pour récupérer les sauvegardes pour garantir la
données en cas d'incident. continuité des services.
• Surveillance des systèmes pour • Maintenance régulière et
prévenir la modification mise à jour des systèmes
malveillante des données. pour éviter les pannes et
vulnérabilités.
Autres objectifs clés en sécurité informatique :

4. Authentification
•Garantir que l'identité des utilisateurs et des systèmes est correctement vérifiée
avant d'accorder l'accès.
5. Non-répudiation
•Assurer qu'une personne ou un système ne puisse nier avoir effectué une action
particulière (par exemple, envoyer un message, effectuer un paiement).
•Utilisation de journaux de logs et de signatures numériques.
6. Auditabilité
•Permettre l'examen et la surveillance des activités des utilisateurs et des
systèmes pour détecter et répondre aux incidents de sécurité.
7. Gestion des vulnérabilités
•Identification, évaluation et correction des failles de sécurité dans les logiciels et
matériels pour empêcher les attaques.