UPL

UL
UL
UPL SEC-CRYPTO
INFO-01
2016-2017
2021-2022 SEC-CRYPTO
INFO-01
2016-2017
2021-2022

SECURITE INFORMATIQUE ET CRYPTOGRAPHIE

SEC-CRYPTO
CHAPITRE 1 – INTRODUCTION -
MODULE 1


 Version 1.0 – 2021/2022
 Objectifs du cours
Objectifs Généraux :

 Familiarisation avec les principales vulnérabilités et l’évaluation de

leurs impacts avec les méthodes d’analyse de risques.
 Maîtrise des notions essentielles des principaux domaines d’expertise
de la sécurité informatique.
 Comprendre les fondements de la sécurité informatique, dont la
cryptologie , la cybersécurité et l’authentification.
 Comprendre les technologies de la sécurité.
 Objectifs du cours
Objectifs spécifques :

 Ce cours doit permettre aux étudiants d’être capable de :

 Définir les concepts de la sécurité de l'information et leur utilisation
 Comprendre et appliquer les différents algorithmes à clé symétrique et
les algorithmes à clé asymétrique
 Comprendre les concepts de hachage et d'authentification des
messages avec des algorithmes et les appliquer.
 Comprendre l'authentification des utilisateurs et le mécanisme de
sécurité du réseau.
 Analyser l'utilisation des applications d'authentification, de la sécurité
Web, IP et e-mail.
 Comprendre et évaluer le besoin de détection et de prévention
d'intrusion et de pare-feu.
 Contenu du cours

Contenu : La sécurité informatique aujourd’hui ; sécurisation de la base

avant les attaques trop avancées ; analyse et gestion de la sécurité et du
risque; authentification. Sécurité dans le développement logiciel,
sensibilisation à l’hameçonnage et à l’ingénierie sociale téléphonique; nles
vulnérabilités et les menaces communes, les attaques communes, les
bonnes pratiques de base pour l’authentification, la segmentation réseau;
introduction à la cryptographie; sécurité des mobiles; sécurité dans
l’approche « prenez vos appareils personnels » (PAP) (bring your own
device); sécurité des systèmes opérationnels (OT);

4
 Plan du cours

 Chapitre 1 Introduction à la Sécurité Informatique

 Chapitre 2 Introduction à la cryptographie
 Chapitre 3 Sécurité des échanges
 Chapitre 4 Sécurité des réseaux
 Chapitre 5 Sécurité des accès
 Chapitre 6 Sécurité des systèmes et applications
Chapitre 7 gestion de la cybersécurité au sein d’une organisation

 Note sur le copyrights

 Les slides que je n’ai pas conçus ne seront pas marqués

de mon copyrights. Ils porteront ceux de leur auteurs si
ils en ont.

 Ce cours peut être distribué librement à condition de

respecter tous les copyrights qui y sont attachés et de
laisser les mentions des auteurs des différents slides.

 Tous les efforts seront fait pour respecter les droits

d’auteurs des différentes sources utilisées dans ce cours
ainsi que pour minimiser les erreurs.

 Prière de bien vouloir signaler toute erreur a l’adresse 6

 Sommaire du module 1
 1. Les enjeux de la sécurité des S.I.
 2. Besoins en sécurité
 3. Notions de vulnérabilité, menace, attaque.
 4. Panorama de quelques menaces.
 5. Exigences fondamentales et objectifs
 6. Étude (analyse) des risques
 7. Établissement d’une politique de sécurité
 8. Éléments d’une politique de sécurité
 9. Principaux défauts de sécurité
 10. Notion d'audit







 Résultat Réseaux Informatique

Réseaux Informatiques

Sécurité
Systèmes distribués Réseaux Avancés
informatique

Rappels TCP/IP Routage avancé

Client serveur (FTP, Réseaux Dynamiques:
Telnet, SSH,…) Réseaux Ad Hoc
Socket Réseaux P2P
NFS
RPC, CORBA, RMI
Algorithmes distribués
Réalisé par : Dr RIAHLA
 Protections

 Formation des utilisateurs

 Poste de travail
 Antivirus
 Authentification et cryptage
 Pare-feu (firewall) : translation, filtrage et proxies
 Détection d’intrusion
 Communications et applications sécurisées
 VPNs
Réalisé par : Dr RIAHLA 2008/2009
 Internet (le réseau des réseaux)

Réalisé par : Dr RIAHLA 8

Protections

2008/2009
 Gestion de la sécurité

 Définition d’une politique de sécurité.

 Normes et standards de sécurité
 L’audit.

Réalisé par : Dr RIAHLA 2008/2009

 Objectif Principal

 Connaissances générales pour les non

spécialistes

 Une base pour les futurs spécialistes de la

Sécurité.

Réalisé par : Dr RIAHLA 11

 Sensibilisation et initiation à la
cybersécurité

Module 1 : notions de base

05/11/2015

Ce document pédagogique a été rédigé par un consortium regroupant des enseignants-chercheurs et des professionnels du secteur de la cybersécurité.

Il est mis à disposition par l’ANSSI sous licence Creative Commons Attribution 3.0 France.
 1. Les enjeux de la sécurité des S.I.
a) Préambule
b) Les enjeux
c) Pourquoi les pirates s’intéressent aux S.I. ?
d) La nouvelle économie de la cybercriminalité
e) Les impacts sur la vie privée
f) Les infrastructures critiques
g) Quelques exemples d’attaques

14/07/2025 Sensibilisation et initiation à la cybersécurité 15

1. Les enjeux de la sécurité des S.I.

a. Préambule

• Système d’Information (S.I.)

– Ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les
informations au sein d’une organisation

– Mot clé : information, c’est le « nerf de la guerre » pour toutes les entreprises, administrations,
organisations, etc.

Le S.I. doit permettre et faciliter la mission de l’organisation

14/07/2025 Sensibilisation et initiation à la cybersécurité 16

1. Les enjeux de la sécurité des S.I.

a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux

processus métiers
et informations

actifs supports

site personne matériel réseau logiciel organisation

ISO/IEC 27005:2008

La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens

14/07/2025 Sensibilisation et initiation à la cybersécurité 17

 sécurité Informtique
Département de physique/Infotronique IT/S5

Introduction
à la sécurité informatique

Réalisé par : Dr RIAHLA 2008/2009

 Réseaux Informtiques
Département de physique/Infotronique IT/S5

1. Introduction (historique)

Réalisé par : Dr RIAHLA 2008/2009

 Historique (Kevin mitnick)

Réalisé par : Dr RIAHLA 20

 Historique (Kevin mitnick)
 Commencé à hacker des réseaux téléphoniques
Il a attaqués les machines de tsutomu shimomura au centre
du supercomputing
.
Il a pénétré dans les serveurs du WELL et a accédé au courrier de
markoff (un journaliste)

 Il a été arrêté avec l'aide d'annonce du

shimomura et la société WELL

A servi 5 années en prison et interdit d'utiliser des ordinateurs pour 2

années
Réalisé par : Dr RIAHLA 21
 Historique (Kevin mitnick)

 Il est maintenant Consultant

en sécurité informatique.

il a publié un livre traitant de

l'ingénierie sociale,
IDS,…

Réalisé par : Dr RIAHLA 22

 Historique (DDOS)
Février 2000
Plusieurs sites Web majeurs non accessibles (ebay, cnn, amazon,
microsoft,....) pour quelques heures.
Ils sont inondés par un flux énorme de traffic (jusqu'à 1 gbps), de
plusieurs adresses.

Février 16h
Quelqu'un est suspecté pour avoir lancé les attaques

Avril15h
il est arrêté au canada, il a 15 ans

Réalisé par : Dr RIAHLA 23

 Historique (DDOS)
Il a été condamné à 8 mois dans un centre de détention

Avec un programme automatique, il était capable de hacker 75

machines différentes dû à une vulnérabilité dans leurs serveurs
ftp

il a installé un programme d'attaque distribué sur ces machines

Réalisé par : Dr RIAHLA 24

 Historique (Autres)
 MELLISA et autres bugs
 Programme de l'opération bancaire à distance.
 Virus, vers, spyware,…
 Attaques réseaux
 …etc

Réalisé par : Dr RIAHLA 25

 Systèmes d’information

Un système d'information est généralement défini par

l'ensemble des données et des ressources matérielles et logicielles
de l'entreprise permettant de les stocker ou de les faire circuler.

Organisation des activités consistant à acquérir, stocker,

transformer, diffuser, exploiter, gérer... les informations.

Réalisé par : Dr RIAHLA 26

 Systèmes d’information

– Besoin de plus en plus d'informations

 Grande diversitée dans la nature des informations:

 données financières
 données techniques
 données médicales
– …

Ces données constituent les biens de l'entreprise et peuvent être

très convoitées.

Réalisé par : Dr RIAHLA 27

 Systèmes Informatiques
Un des moyens techniques pour faire fonctionner un système
d’information est d’utiliser un système informatique (coeur).

Les Systèmes informatiques sont devenus la cible de ceux

qui convoitent l’information.

Assurer la sécurité de l’information implique d’assurer la

sécurité des systèmes informatiques.

Réalisé par : Dr RIAHLA 28

 Sécurité Informatique

Avec le développement de l'utilisation d'internet, de plus en plus

d'entreprises ouvrent leur système d'information à leurs partenaires
ou leurs fournisseurs.

Il est donc essentiel de connaître les ressources de l'entreprise à

protéger et de maîtriser le contrôle d'accès et les droits des
utilisateurs du système d'information.

29
 Sécurité Informatique

La sécurité informatique c’est l’ensemble des moyens

mis en œuvre pour réduire la vulnérabilité d’un système

contre les menaces accidentelles ou intentionnelles.

Réalisé par : Dr RIAHLA 30

1. Les enjeux de la sécurité des S.I.

b. Les enjeux

• La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour
limiter leurs impacts sur le fonctionnement et les activités métiers des organisations…

• La gestion de la sécurité au sein d’un système d’information n’a pas pour objectif de faire de
l’obstruction. Au contraire :

– Elle contribue à la qualité de service que les utilisateurs sont en droit d’attendre

– Elle garantit au personnel le niveau de protection qu’ils sont en droit d’attendre

14/07/2025 Sensibilisation et initiation à la cybersécurité 31

1. Les enjeux de la sécurité des S.I.

b. Les enjeux

Impacts financiers Impacts sur l’image

et la réputation
Sécurité
des S.I.
Impacts juridiques Impacts
et réglementaires organisationnels

14/07/2025 Sensibilisation et initiation à la cybersécurité 32

1. Les enjeux de la sécurité des S.I.

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC d’individus ?

• Les motivations évoluent

– Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
– De nos jours : majoritairement des actions organisées et réfléchies

• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …

14/07/2025 Sensibilisation et initiation à la cybersécurité 33

1. Les enjeux de la sécurité des S.I.

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC d’individus ?

• Gains financiers (accès à de l’information, puis monétisation et revente)

– Utilisateurs, emails
– Organisation interne de l’entreprise
– Fichiers clients
– Mots de passe, N° de comptes bancaire, cartes bancaires

• Utilisation de ressources (puis revente ou mise à disposition en tant que « service »)

– Bande passante & espace de stockage (hébergement de musique, films et autres contenus)
– Zombies (botnets)

• Chantage
– Déni de service
– Modifications des données

• Espionnage
– Industriel / concurrentiel
– Étatique

• …
14/07/2025 Sensibilisation et initiation à la cybersécurité 34
1. Les enjeux de la sécurité des S.I.

d. La nouvelle économie de la cybercriminalité

• Une majorité des actes de délinquance réalisés sur Internet sont commis par des groupes criminels organisés,
professionnels et impliquant de nombreux acteurs

des groupes spécialisés dans le développement de programmes malveillants et virus informatiques

1
des groupes en charge de l’exploitation et de la commercialisation de services permettant de réaliser
2 des attaques informatiques

un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des hébergeurs malhonnêtes soit
3 des hébergeurs victimes eux-mêmes d’une attaque et dont les serveurs sont contrôlés par des pirates

4 des groupes en charge de la vente des données volées, et principalement des données de carte
bancaire

5 des intermédiaires financiers pour collecter l’argent qui s’appuient généralement sur des réseaux de
mules

14/07/2025 Sensibilisation et initiation à la cybersécurité 35

1. Les enjeux de la sécurité des S.I.

d. La nouvelle économie de la cybercriminalité

• Quelques chiffres pour illustrer le marché de la cybercriminalité…

le prix moyen de commercialisation des numéros de cartes bancaires en

de 2 à10 $ fonction du pays et des plafonds

le tarif moyen de location pour 1 heure d’un botnet, système permettant de

5$ saturer un site internet

2.399 $ le prix de commercialisation du malware « Citadel » permettant d’intercepter

des numéros de carte bancaire
(+ un abonnement mensuel de 125 $ )

14/07/2025 Sensibilisation et initiation à la cybersécurité 36

1. Les enjeux de la sécurité des S.I.

e. Les impacts de la cybercriminalité sur la vie privée (quelques exemples)

• Impact sur l’image / le caractère Ces impacts – non exhaustifs – ne signifient pas qu’il ne
faut pas utiliser Internet, loin de là !
/ la vie privée
Il faut au contraire apprendre à anticiper ces risques et à
– Diffamation de caractère
faire preuve de discernement lors de l’usage
– Divulgation d’informations personnelles d’Internet/smartphones…
– Harcèlement / cyber-bullying
• Usurpation d’identité
– « Vol » et réutilisation de logins/mots de
passe pour effectuer des actions au nom de la victime
• Perte définitive de données
– malware récents (rançongiciel) : données chiffrées contre rançon
– connexion frauduleuse à un compte « cloud » et suppression malveillante de l’ensemble des données
• Impacts financiers
– N° carte bancaire usurpé et réutilisé pour des achats en ligne
– Chantage (divulgation de photos ou d’informations compromettantes si non paiement d’une rançon)
14/07/2025 Sensibilisation et initiation à la cybersécurité 37
1. Les enjeux de la sécurité des S.I.

e. Les impacts de la cybercriminalité sur les infrastructures critiques

• Infrastructures critiques = un ensemble d’organisations parmi les secteurs d’activité

suivants, et que l’État français considère comme étant tellement critiques pour la nation que
des mesures de sécurité particulières doivent s’appliquer
– Secteurs étatiques : civil, justice, militaire…
– Secteurs de la protection des citoyens : santé, gestion de l’eau, alimentation
– Secteurs de la vie économique et sociale : énergie, communication, électronique,
audiovisuel, information, transports, finances, industrie.

• Ces organisations sont classées comme Opérateur d’Importance Vitale (OIV). La liste
exacte est classifiée (donc non disponible au public).

14/07/2025 Sensibilisation et initiation à la cybersécurité 38

1. Les enjeux de la sécurité des S.I.

g. Quelques exemples d’attaques

14/07/2025 Sensibilisation et initiation à la cybersécurité 39

1. Les enjeux de la sécurité des S.I.

g. Quelques exemples d’attaques

14/07/2025 Sensibilisation et initiation à la cybersécurité 40

 1. Les enjeux de la sécurité des S.I.

Sony Pictures Entertainment

• GOP pour Guardian of Peace

• Des données internes ont été publiées contenant :
– les numéros de sécurité sociale et les numérisations de
passeport appartenant aux acteurs et directeurs.
– des mots de passe internes
– des scripts non publiés
– des plans marketing
– des données légales et financières
– et 4 films entiers inédits
• La probabilité de vol d’identité est très forte désormais
pour les personnes dont les informations ont été
publiées.
• Les studios concurrents de Sony, ont une visibilité sur les
plans stratégiques de Sony.
« Si vous n’obéissez pas, nous publierons au monde les informations suivantes ». Ce
message était affiché sur plusieurs ordinateurs de Sony Pictures Entertainment le 24
nov 2014

La source de l’attaque reste à déterminer.

La Corée du Nord est soupçonnée d’être à l’origine de l’attaque.
http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html
14/07/2025 Sensibilisation et initiation à la cybersécurité 41
1. Les enjeux de la sécurité des S.I.

Vols de données en 2014

• L’année 2014 a été l’année de tous

les records en matière de fuite de
données.

• Infographie réalisée par

www.silicon.fr

14/07/2025 Sensibilisation et initiation à la cybersécurité 42

1. Les enjeux de la sécurité des S.I.

Quelques exemples d’attaques ciblant l’enseignement

Défacement de site

Vol de données
personnelles

14/07/2025 Sensibilisation et initiation à la cybersécurité 43

1. Les enjeux de la sécurité des S.I.

Quelques exemples d’attaques ciblant l’enseignement

Vol de données
professionnelles

Rebond pour fraude externe

14/07/2025 Sensibilisation et initiation à la cybersécurité 44

1. Les enjeux de la sécurité des S.I.

Quelques exemples d’attaques, ce qui pourrait arriver

Cyberattaques sur la voiture

connectée envisagées à l’horizon
2020
Exemple : Prise de contrôle du système
de frein

Déploiement des smart grid prévu à

l’horizon 2030
Exemple : Blackout sur une grille.

14/07/2025 Sensibilisation et initiation à la cybersécurité 45

 UPL
UL
UL
UPL SEC-CRYPTO
INFO-01
2016-2017
2021-2022 SEC-CRYPTO
INFO-01
2016-2017
2021-2022

2. BESOINS EN SECURITE
 2. Les besoins de sécurité

a) Introduction aux critères DIC

b) Besoin de sécurité : « Preuve »
c) Différences entre sureté et sécurité
d) Exemple d’évaluation DICP
e) Mécanisme de sécurité pour atteindre les besoins DICP

14/07/2025 Sensibilisation et initiation à la cybersécurité 47

2. Les besoins de sécurité

a. Introduction aux critères DIC

• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien est correctement sécurisé ?

• 3 critères sont retenus pour répondre à cette problématique, connus sous le nom de D.I.C.

Disponibilité
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien
doit être disponible durant les plages d’utilisation prévues)

Bien à
protéger
Intégrité
Propriété d'exactitude et de complétude des biens
et informations (i.e. une modification illégitime
d’un bien doit pouvoir être détectée et corrigée)

Confidentialité
Propriété des biens de n'être accessibles
qu'aux personnes autorisées

14/07/2025 Sensibilisation et initiation à la cybersécurité 48

2. Les besoins de sécurité

b. Besoin de sécurité : « Preuve »

• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien est
correctement sécurisé ?

• 1 critère complémentaire est souvent associé au D.I.C.

Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
Bien à lesquelles ce bien évolue. Cette propriété englobe
protéger Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée

14/07/2025 Sensibilisation et initiation à la cybersécurité

2. Les besoins de sécurité

c. Différences entre sureté et sécurité

« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte. L’interprétation de ces expressions
peuvent varier en fonction de la sensibilité de chacun.

Sûreté Sécurité
Protection contre les dysfonctionnements et Protection contre les actions malveillantes volontaires
accidents involontaires
Exemple de risque : blocage d’un service, modification
Exemple de risque : saturation d’un point d’accès, d’informations, vol d’information
panne d’un disque, erreur d’exécution, etc.
Non quantifiable statistiquement, mais il est possible
Quantifiable statistiquement (ex. : la durée de vie d’évaluer en amont le niveau du risque et les impacts
moyenne d’un disque est de X milliers d’heures)
Parades : contrôle d’accès, veille sécurité, correctifs,
Parades : sauvegarde, dimensionnement, configuration renforcée, filtrage…*
redondance des équipements…

* Certaines de ces parades seront présentées dans ce cours

14/07/2025 Sensibilisation et initiation à la cybersécurité
2. Les besoins de sécurité

c. Différences entre sureté et sécurité

Sûreté : ensemble de mécanismes mis en place pour

assurer la continuité de fonctionnement du système dans
les conditions requises.

Sécurité : ensemble de mécanismes destinés à protéger

l'information des utilisateurs ou processus n'ayant pas
l'autorisation de la manipuler et d’assurer les accès
autorisés.

Le périmètre de chacune des 2 notions n’est pas si

clairement délimité dans la réalité : dans le cas de la
voiture connectée on cherchera la sécurité et la sûreté.
On constate sur le schéma que la notion de
sécurité diffère selon le contexte :
• sécurité ► innocuité
• sécurité ► immunité

14/07/2025 Sensibilisation et initiation à la cybersécurité

2. Les besoins de sécurité

d. Exemple d’évaluation DICP

Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de Disponibilité, Intégrité,
Confidentialité et de Preuve. L’évaluation de ces critères sur une échelle permet de déterminer si ce bien est
correctement sécurisé.

L’expression du besoin attendu peut-être d’origine :

• Interne : inhérente au métier de l’entreprise
• ou externe : issue des contraintes légales qui pèsent sur les biens de l’entreprise.

Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très fort) :

Niveau de Disponibilité du bien Très fort

Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du bien Très fort
Niveau de Preuve du bien Faible

Le bien bénéficie d’un niveau de sécurité adéquat

14/07/2025 Sensibilisation et initiation à la cybersécurité

2. Les besoins de sécurité

d. Exemple d’évaluation DICP

• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses services sur internet :

Disponibilité = Très fort Confidentialité = Faible

Un haut niveau de disponibilité du site web est Un faible niveau de confidentialité suffit. En
nécessaire, sans quoi l’entreprise ne peut atteindre effet, les informations contenues dans ce site
son objectif de faire connaitre ses services au public web sont publiques par nature!

Intégrité = Très fort Serveur Preuve = Faible

Un haut niveau d’intégrité des informations
présentées est nécessaire. En effet, l’entreprise ne
web Un faible niveau de preuve suffit. En effet, ce
souhaiterait pas qu’un concurrent modifie site web ne permet aucune interaction avec
frauduleusement le contenu du site web pour y les utilisateurs, il fournit simplement des
insérer des informations erronées (ce qui serait informations fixes.
dommageable)

14/07/2025 Sensibilisation et initiation à la cybersécurité

2. Les besoins de sécurité

e. Mécanismes de sécurité pour atteindre les besoins DICP

Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de garantir les propriétés DICP sur les
biens de ce S.I. Voici quelques exemples de mécanismes de sécurité participant à cette garantie :

D I C P
Mécanisme technique permettant de détecter toute attaque virale qui a déjà été
Anti-virus identifiée par la communauté sécurité   

Mécanisme permettant d’implémenter du chiffrement et des signatures

Cryptographie électroniques   
Équipement permettant d’isoler des zones réseaux entre-elles et de n’autoriser le
Pare-feu passage que de certains flux seulement  

Mécanismes permettant de restreindre l’accès en lecture/écriture/suppression aux

Contrôles d’accès ressources aux seules personnes dument habilitées   
logiques

Sécurité physique des Mécanismes de protection destinés à protéger l’intégrité physique du matériel et
des bâtiments/bureaux.   
équipements et locaux
14/07/2025 Sensibilisation et initiation à la cybersécurité
2. Les besoins de sécurité

e. Mécanismes de sécurité pour atteindre les besoins DICP

D I C P
Mécanismes organisationnels destinés à s’assurer de l’efficacité et de la pertinence
Capacité d’audit des mesures mises en œuvre. Participe à l’amélioration continue de la sécurité du S.I.    

Mécanismes organisationnels destinés à s’assurer que les partenaires et prestataires

Clauses contractuelles mettent en œuvre les mesures nécessaires pour ne pas impacter la sécurité des S.I.
avec les partenaires de leurs clients    

Mécanismes organisationnels dont l’objectif est d’expliquer aux utilisateurs,

administrateurs, techniciens, PDG, clients, grand public, etc. en quoi leurs actions
Formation et affectent la sécurité des S.I. Diffusion des bonnes pratiques de sécurité.
sensibilisation Le cours actuel en est une illustration !    

Certains de ces mécanismes seront présentés dans le cadre cette sensibilisation à la

cybersécurité

14/07/2025 Sensibilisation et initiation à la cybersécurité

 3. Notions de vulnérabilité, menace, attaque

a) Notion de « Vulnérabilité »
b) Notion de « Menace »
c) Notion d’« Attaque »
d) Exemple de vulnérabilité lors de la conception d'une application
e) Illustration d'un usage normal de l'application vulnérable
f) Illustration de l'exploitation de la vulnérabilité présente dans l'application
14/07/2025 Sensibilisation et initiation à la cybersécurité
3. NOTIONS DE VULNERABILTE, MENACE ET ATTAQUE
3. Notions de vulnérabilité, menace, attaque

a. Notion de « Vulnérabilité »

• Vulnérabilité
• Faiblesse au niveau d’un bien (au niveau de la conception, de la réalisation, de
l’installation, de la configuration ou de l’utilisation du bien).

Vulnérabilités

14/07/2025 Sensibilisation et initiation à la cybersécurité

3. Notions de vulnérabilité, menace, attaque

b. Notion de « Menace »

• Menace
• Cause potentielle d’un incident, qui pourrait entrainer des dommages sur un bien si cette menace se
concrétisait.

Personnes extérieures malveillantes

Stagiaire
malintentionné

Perte de service

Menaces
Code malveillant
14/07/2025 Sensibilisation et initiation à la cybersécurité
3. Notions de vulnérabilité, menace, attaque

c. Notion d’« Attaque »

• Attaque
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une attaque représente la
concrétisation d’une menace, et nécessite l’exploitation d’une vulnérabilité.

Attaques

14/07/2025 Sensibilisation et initiation à la cybersécurité

3. Notions de vulnérabilité, menace, attaque

c. Notion d’« Attaque »

• Attaque
• Une attaque ne peut donc avoir lieu (et réussir) que si le bien est
affecté par une vulnérabilité.

Ainsi, tout le travail des experts sécurité consiste à s’assurer que le S.I. ne possède aucune
vulnérabilité.
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces vulnérabilités plutôt que de viser un
objectif 0 inatteignable.

14/07/2025 Sensibilisation et initiation à la cybersécurité

3. Notions de vulnérabilité, menace, attaque

d. Exemple de vulnérabilité : Contournement de l'authentification dans l’application VNC

L’application VNC permet à un utilisateur de prendre en main sur une machine distance, après
qu’il se soit authentifié.
• La vulnérabilité décrite dans les planches suivantes est corrigée depuis de nombreuses années. Elle
est symptomatique d’une vulnérabilité dans la conception d’une application ;
• L’application permet en temps normal à un utilisateur de se connecter à distance sur une machine pour
y effectuer un « partage de bureau » (i.e. pour travailler à distance sur cette machine) ;
• En 2006, il est découvert que cette application – utilisée partout dans le monde depuis de très
nombreuses années – présente une vulnérabilité critique : il est possible de se connecter à distance
sur cette application sans avoir besoin de s’authentifier (i.e. tout utilisateur sur internet peut se
connecter à distance sur les systèmes en question) ;
• Le diaporama suivant illustre la vulnérabilité technique sous-jacente à ce comportement.

14/07/2025 Sensibilisation et initiation à la cybersécurité

 3. Notions de vulnérabilité, menace, attaque

e. Illustration d’un usage normal de l’application vulnérable

Description du fonctionnement normal
de l’application

L’utilisateur effectue une demande de connexion

au serveur depuis son PC client 

Le serveur détermine le mode d’authentification

(aucune authentification, mot de passe, certificat,
 etc.) et envoie cette demande d’authentification à
l’utilisateur demandeur
mdp = ?

L’utilisateur s’authentifie selon la méthode choisie 

par le serveur
mdp = Afh7ù

Le serveur valide l’authentification (si elle est

 correcte) et autorise donc la connexion

Référence : CVE-2006-2369
14/07/2025 Sensibilisation et initiation à la cybersécurité
 3. Notions de vulnérabilité, menace, attaque

f. Illustration de l’exploitation de la vulnérabilité présente dans l’application

Description du fonctionnement
modifié par un attaquant
L’attaquant effectue une demande de connexion
au serveur depuis son PC client 

Le serveur détermine le mode d’authentification (aucune

authentification, mot de passe, certificat, etc.) et envoie
 cette demande d’authentification à l’utilisateur
demandeur
mdp = ?
L’attaquant choisit de s’authentifier avec le
mécanisme de son choix, et non pas avec le
mécanisme choisi par le serveur. Ici il choisit la

méthode « pas d’authentification » authent = NON

Le serveur valide l’authentification (car elle est valide

 i.e. aucune authentification est une méthode valide) et
autorise donc la connexion
Référence : CVE-2006-2369

La vulnérabilité se situe ici : le serveur ne vérifie pas que le type d’authentification retourné par le client correspond à celui demandé. A la place, il vérifie simplement que
l’authentification est correcte (et « authent = NON » est effectivement une authentification qui est toujours correcte)
14/07/2025 Sensibilisation et initiation à la cybersécurité
 UPL
UL
UL
UPL SEC-CRYPTO
INFO-01
2016-2017
2021-2022 SEC-CRYPTO
INFO-01
2016-2017
2021-2022

4. PANORAMA DE QUELQUES MENACES

 4. Panorama de quelques menaces

a) Les sources potentielles de menaces

b) Panorama de quelques menaces
c) Hameçonnage & ingénierie sociale
d) Déroulement d’une attaque avancée
e) Violation d’accès non-autorisé
f) Fraude interne
g) Virus informatique
h) Déni de service Distribué (DDoS)
i) Illustration d’un réseau de botnets
14/07/2025 Sensibilisation et initiation à la cybersécurité
 4. Panorama de quelques menaces

a. Sources potentielles de menaces

capacité

Etat tiers

Groupe de Capacité
cybercriminels degré d’expertise et ressources de la source
de menaces

Concurrents
Exposition
opportunités et intérêts de la source de
Personnel
menaces
interne
Cyber-
délinquant

exposition
Exemple d’une cartographie des principales sources de menaces qui pèsent sur un S.I.

Attention : cette cartographie doit être individualisée à chaque organisation car toutes les organisations ne font pas face aux
mêmes menaces.
Exemple : le S.I. d’une administration d’état ne fait pas face aux mêmes menaces que le S.I. d’un e-commerce ou d’une université

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

b. Panorama de quelques menaces

Hameçonnage & ingénierie Violation d’accès non

Fraude interne
sociale autorisé

Virus informatique Déni de service distribué

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

c. Hameçonnage & ingénierie sociale

L’hameçonnage (anglais : « phishing ») constitue une « attaque de masse » qui vise à abuser de la « naïveté » des clients ou des
employés pour récupérer leurs identifiants de banque en ligne ou leurs numéros de carte bancaire…

1 Réception d’un mail utilisant le logo et les couleurs de

l’entreprise

2 Demande pour effectuer une opération comme la mise-

à-jour des données personnelles ou la confirmation du
mot de passe

3 Connexion à un faux-site identique à celui de

l’entreprise et contrôlé par l’attaquant

4 Récupération par l’attaquant des identifiants/mots de

passe (ou tout autre donnée sensible) saisie par le
client sur le faux site

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

c. Hameçonnage & ingénierie sociale

L’ « ingénierie sociale » constitue une « attaque ciblée » qui vise à abuser de la « naïveté » des employés de
l’entreprise :
• pour dérober directement des informations confidentielle, ou
• pour introduire des logiciels malveillants dans le système d’information de la banque

par téléphone par réseaux par e-mail

sociaux

les scénarios d’ingénierie sociale sont illimités, avec pour seules limites l’imagination des attaquants et
la naïveté des victimes…

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

c. Hameçonnage & ingénierie sociale

Exemple de phishing ciblant les employés d’un grand groupe français…

Ce lien pointe en fait vers un site frauduleux, et non pas vers un

serveur légitime de l’entreprise

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

d. Déroulement d’une attaque avancée

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

d. Déroulement d’une attaque avancée

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

d. Déroulement d’une attaque avancée

14/07/2025 Sensibilisation et initiation à la cybersécurité

 4. Panorama de quelques menaces

d. Déroulement d’une attaque avancée (Exemple)

• Apple indique que :

– Ses services iCloud ou FindMyPhone n’ont pas été
compromis
– les comptes iCloud des stars concernées ont été
compromis par des attaques ciblées de :
• compte utilisateur
• mot de passe
• questions de sécurité
• Le nombre de tentatives de mots de passe avant
Des photos intimes d’acteurs, chanteurs, présentateurs célèbres stockées sur verrouillage du compte était trop élevé.
iCloud d’Apple ont été diffusées en ligne.
– permettant des attaques par « brute force »
Les célébrités incluaient Jennifer Lawrence, Kate Upton, Rihanna, Kim
Kadarshian, Selena Gomez entre autres. • Il semblerait que l’attaque soit de type « social
engineering ».
– permettant de répondre aux questions de sécurité.

http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803
14/07/2025 Sensibilisation et initiation à la cybersécurité
4. Panorama de quelques menaces

e. Fraude interne

La fraude interne est un « sujet tabou » pour les entreprises, mais un véritable sujet
d’importance !
Catégories de fraudeurs Vulnérabilités Typologies des fraudes

• Fraudeur occasionnel • Faiblesse des procédures de contrôle • Le détournement des avoirs de la

• interne et de surveillance des clientèle
Fraudeur récurrent (petites sommes
opérations •
de manière régulière) Le détournement des avoirs de
• Gestion permissive des habilitations l’entreprise
• Personne qui se fait embaucher pour
informatiques •
effectuer une fraude La création de fausses opérations
• Absence de séparation des tâches et
• Fraude en groupe • La personne qui fausse ses objectifs
de rotation
pour augmenter sa rémunération

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

f. Violation d’accès non autorisé : mots de passe faibles

Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme « ! » ou « _ » et des
chiffres) permettent – entre autre – à des attaquants de mener les actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe couramment utilisés (issus d’un
dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très efficaces dans le cadre de mots de
passe simples, et sont beaucoup moins efficaces dans le cas de mots de passe longs et complexes.

Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse significative pour la
cybersécurité. En effet, les êtres humains n’ont pas la capacité de mémoriser de nombreux mots de passe,
complexes, différents pour chaque application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les individus des problématiques des
mots de passe. Quelques exemples : la biométrie, les tokens USB, les matrices papier, la vérification via un code
SMS, les « one time password », etc.

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

f. Violation d’accès non autorisé : intrusion

Les intrusions informatiques constituent des « attaques ciblées » qui exploitent une ou des vulnérabilité(s) technique(s) pour dérober
des informations confidentielles (ex. : mots de passe, carte bancaire…) ou prendre le contrôle des serveurs ou postes de travail
Depuis le réseau Internet sur les ressources exposées : sites institutionnels, services de e-commerce, services d’accès distant, service de messagerie,
etc.
Depuis le réseau interne sur l’Active Directory ou les applications sensibles internes

Quelques chiffres issus de tests d’intrusion menés sur de nombreux S.I. :

80% des domaines Active Directory sont compromis en 2 heures

75% des domaines Active Directory contiennent au moins 1 compte privilégié avec
un mot de passe trivial

50% des entreprises sont affectées par un défaut de cloisonnement de ses

réseaux

des tests d’intrusion ne sont pas détectés par les équipes IT

80%
Sources : tests d’intrusion Orange Consulting 2012-2013

Active Directory : est un système d’annuaire sous Windows répertoriant les ressources du réseau notamment les sites, les machines, les utilisateurs.

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

g. Virus informatique
Les virus informatiques constituent des « attaques massives » qui tendent…
• à devenir de plus en plus ciblés sur un secteur d’activité (télécommunication, banque, défense, énergie, etc.)
• à devenir de plus en plus sophistiqués et furtifs

Les principaux vecteurs d’infection…

• Message avec pièce-jointe
• Support amovible (clé USB…)
• Site Web malveillant ou piratés
• Partages réseaux ouverts, systèmes vulnérables…

… avec comme conséquences potentielles …

• Installation d’un « cheval de Troie » pour accéder au poste de travail à distance
• Récupération de données ciblées : cartes bancaires, identifiants/mots de passe…
• Surveillance à distance des activités : capture des écrans, des échanges, du son ou de
la vidéo !
• Destruction des données des postes de travail
• Chiffrement des données pour une demande de rançon
Quelques virus récents et médiatiques : • …
Citadel, Flame, Stuxnet, Duqu, Conficker,
Zeus, Shamoon (Aramco)…

14/07/2025 Sensibilisation et initiation à la cybersécurité

4. Panorama de quelques menaces

h. Déni de service distribué (DDoS)

La déni de service distribué (DDoS) constituent une « attaque ciblée » qui consiste à saturer un site Web de requêtes pour le mettre
« hors-service » à l’aide de « botnets », réseaux d’ordinateurs infectés et contrôlés par les attaquants

… une menace majeure et en augmentation

pour les sites Internet

34,5 heures
durée moyenne d’une attaque

48,25 Gbps
bande passante moyenne d’une attaque

75 % des attaques au niveau infrastructure

25% des attaques au niveau application

14/07/2025 Sensibilisation et initiation à la cybersécurité

 4. Panorama de quelques menaces

i. Illustration d’un réseau de botnets

Cible de l’attaque

Milliers ou millions d’ordinateurs

infectés, prêts à attaquer une cible
sur ordre de l’attaquant

Serveurs de commande
(relais)
Un botnet est un ensemble de systèmes contrôlables par un
attaquant via des serveurs de commande. Les propriétaires de
ces systèmes ne savent pas que leur PC participe à un botnet
(leur PC a été compromis au préalable et à leur insu via
l’exploitation d’une vulnérabilité)

Attaquant contrôlant le botnet

14/07/2025 Sensibilisation et initiation à la cybersécurité

 UPL
UL
UL
UPL SEC-CRYPTO
INFO-01
2016-2017
2021-2022 SEC-CRYPTO
INFO-01
2016-2017
2021-2022

5. EXIGENCES FONDAMENTALES ET OBJECTIFS

 Réseaux Informtiques
Département de physique/Infotronique IT/S5

5. Exigences fondamentales et objectifs

Réalisé par : Dr RIAHLA 2008/2009

 Exigences fondamentales et objectifs

Origine des attaques

50% interne 50% externe

Exemple : Exemple:
utilisateur malveillant, Piratage, virus,
erreur involontaire,… intrusion…,..

Réalisé par : Dr RIAHLA

 Exigences fondamentales et objectifs

Elles caractérisent ce à quoi s'attendent les utilisateurs

du systèmes informatiques en regard de la sécurité.

La sécurité informatique vise généralement cinq

principaux objectifs :

Réalisé par : Dr RIAHLA 85

 Exigences fondamentales et objectifs

L'intégrité, c'est-à-dire garantir que les données sont bien celles

que l'on croit être.

La confidentialité, consistant à assurer que seules les personnes

autorisées aient accès aux ressources échangées.

La disponibilité, permettant de maintenir le bon fonctionnement

du système d'information.
.

Réalisé par : Dr RIAHLA 86

 Exigences fondamentales et objectifs

La non répudiation, permettant de garantir qu'une transaction ne

peut être niée.

L'authentification, consistant à assurer que seules les personnes

autorisées aient accès aux ressources.

La sécurité recouvre ainsi plusieurs aspects :

respect de la vie privée (informatique et liberté).

Réalisé par : Dr RIAHLA 87

 Département de physique/Infotronique IT/S5

6. Étude (analyse) des risques

Réalisé par : Dr RIAHLA 2008/2009

 Étude (analyse) des risques

Il est nécessaire de réaliser une analyse de risque en prenant soin

d'identifier les problèmes potentiels avec les solutions avec les
coûts associés.

L'ensemble des solutions retenues doit être organisé sous forme d'une
politique de sécurité cohérente, fonction du niveau de tolérance au
risque.

 On obtient ainsi la liste de ce qui doit être protégé.

Réalisé par : Dr RIAHLA 89

 Evolution des risques

 Croissance de l'Internet
 Croissance des attaques
 Failles des technologies
 Failles des configurations
 Failles des politiques de sécurité
 Changement de profil des pirates

Réalisé par : Dr RIAHLA 90

 Étude (analyse) des risques

Quelle est la valeur des équipements, des logiciels et surtout des

informations ?

 Quel est le coût et le délai de remplacement ?

 Faire une analyse de vulnérabilité des informations

contenues sur les ordinateurs en réseau
(programmes d'analyse des paquets, logs…).

Quel serait l’impact sur la clientèle d'une information publique

concernant des intrusions sur les ordinateurs de la société ?

Réalisé par : Dr RIAHLA 91

 Étude (analyse) des risques

Il faut cependant prendre conscience que les principaux

risques restent :
 « câble arraché »,
 « coupure secteur »,
 « crash disque »,
 « mauvais profil utilisateur », …

Réalisé par : Dr RIAHLA 92

 Étude (analyse) des risques Ce qu’il
faut retenir

 Inventaire des éléments du système à protéger

 Inventaire des menaces possibles sur ces éléments

Estimation de la probabilité que ces menaces se réalisent

Le risque « zéro » n’existe pas, il faut définir le risque résiduel que

l’on est prêt à accepter.

Réalisé par : Dr RIAHLA 93

 4 parties

 Introduction à la sécurité informatique

 Menaces (failles de sécurité, Attaques et
vulnérabilités)
 Protections
 Gestion de la sécurité

Réalisé par : Dr RIAHLA 2008/2009

 Démarche (Méthodologie ?) pour sécuriser un système
d’information dans un réseau

Analyse de la Analyse de risques Politique de sécurité

situation

Mesures de sécurité

Implémentation

validation

Réalisé par : Dr RIAHLA 38

 sécurité Informtique
Département de physique/Infotronique IT/S5

7. Établissement d’une
politique de sécurité

Réalisé par : Dr RIAHLA 2008/2009

 Établissement d’une politique de sécurité

Il ne faut pas perdre de vue que la sécurité est comme une
chaîne, guère plus solide que son maillon le plus faible

Une porte blindée est inutile dans un bâtiment si les

fenêtres sont ouvertes sur la rue.

Réalisé par : Dr RIAHLA 97

 Établissement d’une politique de sécurité

Suite à l’étude des risques et avant de mettre en place des

mécanismes de protection, il faut préparer une politique à
l'égard de la sécurité.

Une politique de sécurité vise à définir les moyens de

protection à mettre en œuvre

Réalisé par : Dr RIAHLA 98

 Établissement d’une politique de sécurité

 Identifier les risques et leurs conséquences.

Elaborer des règles et des procédures à mettre en oeuvre pour les
risques identifiés.
Surveillance et veille technologique sur les vulnérabilités
découvertes.
Actions à entreprendre et personnes à contacter en cas de
détection d'un problème.

Réalisé par : Dr RIAHLA 99

 Établissement d’une politique de sécurité

 Quels furent les coûts des incidents informatiques

passés ?

 Quel degré de confiance pouvez-vous avoir envers

vous utilisateurs interne ?

Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?

Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou

tellement forte qu’elle devient contraignante ?

Réalisé par : Dr RIAHLA 100

 Établissement d’une politique de sécurité

Y a-t-il des informations importantes sur des ordinateurs en réseaux

? Sont-ils accessible de l’externe ?

Quelle est la configuration du réseau et y a-t-il des services

accessibles de l’extérieur ?

Quelles sont les règles juridiques applicables à votre entreprise

concernant la sécurité et la confidentialité des informations ?

Réalisé par : Dr RIAHLA 101

 Établissement d’une politique de sécurité

Mise en œuvre
 Audit
 Tests d'intrusion
 Détection d'incidents
 Réactions
 Restauration

Réalisé par : Dr RIAHLA 102

 sécurité Informtique
Département de physique/Infotronique IT/S5

8. Éléments d’une politique de sécurité

Réalisé par : Dr RIAHLA 2008/2009

 Éléments d’une politique de sécurité

En plus de la formation et de la sensibilisation permanente

des utilisateurs, la politique de sécurité peut être

découpée en plusieurs parties :

Réalisé par : Dr RIAHLA 104

 Éléments d’une politique de sécurité

 Défaillance matérielle (vieillissement, défaut…)

 Défaillance logicielle (bugs, MAJ…)
 Accidents (pannes, incendies, inondations…)
 Erreur humaine (Formation)
Vol via des dispositifs physique (disques et bandes), Contrôler

l'accès aux équipements

 Virus provenant de disquettes
 Piratage et virus réseau (plus complexe )
Réalisé par : Dr RIAHLA 105
 Démarche (Méthodologie ?) pour sécuriser un système
d’information dans un réseau

Analyse de la Analyse de risques Politique de sécurité

situation

Mesures de sécurité

Implémentation

validation

Réalisé par : Dr RIAHLA 106

 Démarche (Méthodologie ?) pour sécuriser un système
d’information dans un réseau

Analyse de la situation : identifier le contexte du système à sécuriser.« On ne

sécurise pas de la même manière une maison, une banque ou une gare »

Analyse des risques : (suite)

Diminuer le risque global auquel le système est exposé

Politique de sécurité :
Sert à décrire de quelle manière le risque global sera diminué
(avec risque résiduel):

Décrire les différents éléments du système d’info et les règles qui s’y appliquent
(classification des infos, découpage en zones, règles de protection pour chaque
zone, etc…)

Réalisé par : Dr RIAHLA 107

 Démarche (Méthodologie ?) pour sécuriser un système
d’information dans un réseau

Mesures de sécurité :
Ensemble de mesures techniques (FireWall, Antivirus, IDS,
...) ou organisationnelles ( procédure de secours, nomination responsable
sécurité, …) qui vont permettre d’appliquer la politique de sécurité

Implémentation
Installation et implémentation des différentes mesures

Validation
Validation des mesures implémentées afin de vérifier qu’elles offrent la
protection voulue (Audits, scans de
vulnérabilité, tests d’intrusion, etc…)

Réalisé par : Dr RIAHLA 108

 sécurité Informtique
Département de physique/Infotronique IT/S5

9. Principaux défauts de
sécurité

Réalisé par : Dr RIAHLA 2008/2009

 Principaux défauts de sécurité

Les défauts de sécurité d’un système d’information

les plus souvent constatés sont :
 Installation des logiciels et matériels par défaut.

 Mises à jours non effectuées.

 Mots de passe inexistants ou par défaut.

 Services inutiles conservés (Netbios…).

 Traces inexploitées.
Réalisé par : Dr RIAHLA 110
 Principaux défauts de sécurité

 Pas de séparation des flux opérationnels des flux

d’administration des systèmes.

 Télémaintenance sans contrôle fort.

 Procédures de sécurité obsolètes (périmés).

 Authentification faible.

Réalisé par : Dr RIAHLA 111

 Principaux défauts de sécurité

l'état actif d'insécurité, c'est-à-dire la non connaissance par

l'utilisateur des fonctionnalités du système, dont certaines
pouvant lui être nuisibles (par exemple le fait de ne pas désactiver
des services réseaux non nécessaires à l'utilisateur)

l'état passif d'insécurité, c'est-à-dire la méconnaissance des

moyens de sécurité mis en place, par exemple lorsque
l'administrateur d'un système ne connaît pas les dispositifs de
sécurité dont il dispose.

Réalisé par : Dr RIAHLA 112

 Réseaux Informtiques
Département de physique/Infotronique IT/S5

10. Notion d'audit

Réalisé par : Dr RIAHLA 2008/2009

 Notion d'audit

Un audit de sécurité consiste à s'appuyer sur un tiers de confiance

(généralement une société spécialisée en sécurité informatique) afin
de valider les moyens de protection mis en œuvre, au regard de la
politique de sécurité.

L'objectif de l'audit est ainsi de vérifier que chaque règle

de la politique de sécurité est
correctement appliquée et que l'ensemble des dispositions
prises forme un tout cohérent.

Réalisé par : Dr RIAHLA 114

 Notion d'audit

Un audit de sécurité permet de s'assurer que l'ensemble des

dispositions prises par l'entreprise sont réputées sûres.

Réalisé par : Dr RIAHLA 115