Cours Securité Informatique

Scurit informatique
ISET SILIANA
Chaabani Nizar
Nizar.chaabani@gmail.com
S
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Chaabani Nizar Scurit informatique 1
Bibliographie

Scurit informatique, Ethical hacking, Apprendre l'attaque pour mieux se
dfendre. Editions ENI - Octobre 2009.
Scurit informatique, principes et mthodes lusages des DSI, RSSI et
administrateurs. Auteurs : Laurnt Bloch,Christophe Wolfhugel. Edition Eyrolles.
2
me
edition.
Tableaux de bord de la scurit rseau. Auteurs: Cdric Llorens Laurent Levier
Denis Valois. Edition Eyrolles. 2
me
edition.
Scurit informatique et rseaux. Auteur : Solange Ghernaouti-Hlie. Edition
Eyrolles. 3
me
edition.
Hacking Exposed, Network Security Secrets And Solutions. Seventh Edition.
Lencyclopdie comment a marche (2006). www.commentcamarche.net/

S
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Systme informatique et systme d'information

Un systme informatique est un ensemble de dispositifs (matriels et logiciels)
associs, sur lesquels repose un systme d'information.
Il est constitu gnralement des serveurs, routeurs, pare-feu, commutateurs,
imprimantes, mdias (cbles, air, etc.), points d'accs, stations de travail, systmes
d'exploitation, applications, bases de donnes, etc.
Un systme d'information est un ensemble de moyens (humains, matriels,
logiciels, etc.) organiss permettant d'laborer, de traiter, de stocker et/ou de
diffuser de l'information grce aux processus ou services.
Un systme d'information est gnralement dlimit par un primtre pouvant
comprendre des sites, des locaux, des acteurs (partenaires, clients, employs, etc.),
des quipements, des processus, des services, des applications et des bases de
donnes.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Le Monde dans lequel on vit

Linformation est partout. On la retrouve dans divers systmes:
ordinateurs personnels (bureau et maison)
serveurs de donnes (bases de donnes et serveurs web)
systmes tlphoniques (terminaux, interrupteurs, routeurs)
tlphones portables (voix, image, vido, donne)
appareils manuels (ordinateurs portables, lecteur MP4)
kiosque dinformations (donnes, services, Distributeurs Automatiques de Billets)
cartes puces (identification, autorisation, monnaie lectronique)
systmes incorpors (voiture, appareils domestiques)
bien dautres systmes ...
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Le Monde dans lequel on vit

Nous sommes face non seulement une augmentation de la quantit, mais surtout
de l'importance des donnes.
Avec le dveloppement d'Internet, chacun a accs au rseau o de plus en plus
d'informations circulent.
Exemple:
les entreprises communiquent et diffusent des informations, que ce soit dans leurs
liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations
entre les employs eux-mmes.
Le transport des donnes en dehors du domicile d'un particulier ou d'une
entreprise mrite que l'on s'interroge sur la scurit des transmissions pour ne pas
compromettre un systme d'information.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Quest-ce que la scurit?

Dun premier point de vue :
sassurer que rien de mauvais arrive
rduire les chances que quelque chose de mauvais se produise
minimiser limpact des mauvaises choses
fournir les lments ncessaires pour se remettre des mauvaises choses

Dun autre point de vue :
autoriser les bonnes choses arriver
gestion du cot du systme
Exemples :
scurit de la maison
scurit de la voiture

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Dfinition de base : La scurit informatique c'est l'ensemble des moyens mis en
uvre pour minimiser la vulnrabilit d'un systme contre des menaces
accidentelles ou intentionnelles.
Scurit = Safety
Protection de systmes informatiques contre les accidents dus l'environnement,
les dfauts du systme.
Scurit = Security
Protection des systmes informatiques contre des actions malveillantes
intentionnelles.
Note : Une vulnrabilit (ou faille) est une faiblesse dans un systme informatique.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


En gnral, Le risque en terme de scurit est caractris par l'quation suivante :

La menace reprsente le type d'action susceptible de nuire dans l'absolu.
La vulnrabilit (appele parfois faille) reprsente le niveau d'exposition face la
menace dans un contexte particulier.
La contre-mesure est l'ensemble des actions mises en uvre en prvention de la
menace.
Note: Les contre-mesures mettre en uvre ne sont pas uniquement des solutions
techniques mais galement des mesures de formation et de sensibilisation
l'intention des utilisateurs, ainsi qu'un ensemble de rgles clairement dfinies.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques
Tout ordinateur connect un rseau informatique est potentiellement vulnrable
une attaque.
Une attaque est l'exploitation d'une faille d'un systme informatique (systme
d'exploitation, logiciel ou bien mme de l'utilisateur) des fins non connues par
l'exploitant du systme.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques

Les motivations des attaques peuvent tre de diffrentes sortes :
obtenir un accs au systme ;
voler des informations, tels que des secrets industriels ou des proprits
intellectuelles ;
avoir des informations personnelles sur un utilisateur ;
rcuprer des donnes bancaires ;
s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
troubler le bon fonctionnement d'un service ;
utiliser le systme de l'utilisateur comme rebond pour une attaque ;
utiliser les ressources du systme de l'utilisateur, notamment lorsque le rseau sur
lequel il est situ possde une bande passante leve.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques
Types d attaques
Les systmes informatiques mettent en uvre diffrentes composantes, allant de
l'lectricit pour alimenter les machines au logiciel excut via le systme
d'exploitation et utilisant le rseau.
Les attaques peuvent intervenir chaque maillon de cette chane, pour peu qu'il
existe une vulnrabilit exploitable.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques

Il est possible de catgoriser les risques de la manire suivante :
Accs physique : il s'agit d'un cas o l'attaquant accs aux locaux,
ventuellement mme aux machines :
o Coupure de l'lectricit
o Extinction manuelle de l'ordinateur
o Vandalisme
o Ouverture du botier de l'ordinateur et vol de disque dur
o Ecoute du trafic sur le rseau
Interception de communications :
o Vol de session (session hacking)
o Usurpation d'identit
o Dtournement ou altration de messages
Dnis de service : il s'agit d'attaques visant perturber le bon fonctionnement
d'un service. On distingue habituellement les types de dni de service suivant :
o Exploitation de faiblesses des protocoles TCP/IP
o Exploitation de vulnrabilit des logiciels serveurs

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques

Intrusions :
o Balayage de ports
o Elvation de privilges : ce type d'attaque consiste exploiter une vulnrabilit d'une application
en envoyant une requte spcifique, non prvue par son concepteur, ayant pour effet un
comportement anormal conduisant parfois un accs au systme avec les droits de l'application.
Les attaques par dbordement de tampon (buffer overflow) utilisent ce principe.
o Maliciels (virus, vers et chevaux de Troie)
Ingnierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur
lui-mme! En effet c'est souvent lui qui, par mconnaissance ou par duperie, va
ouvrir une faille dans le systme, en donnant des informations (mot de passe par
exemple) au pirate informatique ou en excutant une pice jointe.
Trappes : Il s'agit d'une porte drobe (backdoor) dissimule dans un logiciel,
permettant un accs ultrieur son concepteur.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques

Les erreurs de programmation contenues dans les programmes sont
habituellement corriges assez rapidement par leur concepteur ds lors que la
vulnrabilit a t publie.
Il appartient aux administrateurs de se tenir inform des mises jour des
programmes qu'ils utilisent afin de limiter les risques d'attaques.
Note: Il existe un certain nombre de dispositifs (pare-feu, systmes de dtection
d'intrusions, antivirus) permettant d'ajouter un niveau de scurisation
supplmentaire.
La scurisation d'un systme informatique est gnralement dite asymtrique,
dans la mesure o le pirate n'a qu' trouver une seule vulnrabilit pour
compromette le systme, tandis que l'administrateur se doit de corriger toutes les
failles.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les attaques
Attaques par rebond
Lors d'une attaque, le pirate garde toujours l'esprit le risque de se faire reprer.
C'est la raison pour laquelle les pirates privilgient habituellement les attaques par
rebond (par opposition aux attaques directes), consistant attaquer une machine
par l'intermdiaire d'une autre machine.
Lobjectif est de masquer les traces permettant de remonter lui (telle que son
adresse IP) et dans le but d'utiliser les ressources de la machine servant de rebond.
Avec le dveloppement des rseaux sans fils, ce type de scnario risque de devenir
de plus en plus courant car lorsque le rseau sans fil est mal scuris, un pirate
situ proximit peut l'utiliser pour lancer des attaques.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les pirates
Hacker/pirate
Le terme hacker est souvent utilis pour dsigner un pirate informatique.
A l'origine ce nom dsignait les programmeurs expriments.
Il servit au cours des annes 70 dcrire les rvolutionnaires de l'informatique, qui
pour la plupart sont devenus les fondateurs des plus grandes entreprises
informatiques.
C'est au cours des annes 80 que ce mot a t utilis pour catgoriser les personnes
impliques dans le piratage de jeux vidos, en dsamorant les protections de ces
derniers, puis en en revendant des copies.
Aujourd'hui ce mot est souvent utilis tort pour dsigner les personnes
s'introduisant dans les systmes informatiques.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les pirates
Les diffrents types de pirates
En ralit il existe de nombreux types d attaquants catgoriss selon leur
exprience et selon leurs motivations :
Les white hat hackers, hackers au sens noble du terme, dont le but est d'aider
l'amlioration des systmes et technologies informatiques, sont gnralement
l'origine des principaux protocoles et outils informatiques que nous utilisons
aujourd'hui; Le courrier lectronique est un des meilleurs exemples;
Les hacktivistes (cybermilitant ou cyberrsistant), sont des hackers dont la
motivation est principalement idologique.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les pirates

Les black hat hackers, plus couramment appels pirates, c'est--dire des
personnes s'introduisant dans les systmes informatiques dans un but nuisible ;
o Les script kiddies (traduisez gamins du script) sont de jeunes utilisateurs du rseau utilisant
des programmes trouvs sur Internet, gnralement de faon maladroite, pour vandaliser des
systmes informatiques afin de s'amuser.
o Les phreakers sont des pirates s'intressant au rseau tlphonique commut (RTC) afin de
tlphoner gratuitement grce des circuits lectroniques connects la ligne tlphonique dans
le but d'en falsifier le fonctionnement.
o Les carders s'attaquent principalement aux systmes de cartes puces (en particulier les cartes
bancaires) pour en comprendre le fonctionnement et en exploiter les failles.
o Les crackers sont des personnes dont le but est de crer des outils logiciels permettant
d'attaquer des systmes informatiques ou de casser les protections contre la copie des logiciels
payants. Un crack est ainsi un programme cr excutable charg de modifier (patcher) le
logiciel original afin d'en supprimer les protections.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Mthodologie dune intrusion
Prsentation gnral dune intrusion
Les hackers recherchent dans un premier temps des failles, dans les protocoles, les
systmes d'exploitations, les applications ou mme le personnel d'une organisation!
Note: vulnrabilit = trou de scurit (security hole).
Pour pouvoir mettre en uvre un exploit (exploiter une vulnrabilit), la premire
tape du hacker consiste rcuprer le maximum d'informations sur l'architecture
du rseau et sur les systmes d'exploitations et applications fonctionnant sur celui-
ci.
Note: La plupart des attaques sont l uvre de script kiddies essayant btement des
exploits trouvs sur internet, sans aucune connaissance du systme, ni des risques
lis leur acte.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Une fois que le hacker a tabli une cartographie du systme, il est en mesure de
mettre en application des exploits relatifs aux versions des applications qu'il a
recenses. Un premier accs une machine lui permettra d'tendre son action afin
de rcuprer d'autres informations, et ventuellement d'tendre ses privilges sur la
machine.
Lorsqu'un accs administrateur (root) est obtenu, on parle alors de compromission
de la machine (ou plus exactement en anglais root compromise), car les fichiers
systmes sont susceptibles d'avoir t modifis. Le hacker possde alors le plus
haut niveau de droit sur la machine.
La dernire tape consiste effacer ses traces, afin d'viter tout soupon de la part
de l'administrateur du rseau compromis et de telle manire pouvoir garder le
plus longtemps possible le contrle des machines compromises.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Droulement dune intrusion
La rcupration d'informations sur le systme: L'obtention d'informations sur
l'adressage du rseau vis, gnralement qualifie de prise d'empreinte, est un
pralable toute attaque. Elle consiste rassembler le maximum d'informations:
o Adressage IP
o Noms de domaine,
o Protocoles de rseau et services activs,
o Architecture des serveurs, etc.
Consultation de bases publiques: En connaissant l'adresse IP publique d'une
des machines du rseau (ou le nom de domaine de l'organisation), un pirate est
potentiellement capable de connatre l'adressage du rseau tout entier. Il suffit de
consulter les bases publiques d'attribution des adresses IP et des noms de
domaine:
o http://www.iana.net
o http://www.ripe.net pour l'Europe
o http://www.arin.net pour les Etats-Unis
Note: La simple consultation des moteurs de recherche permet parfois de
rassembler des informations sur la structure d'une entreprise.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Balayage du rseau: Lorsque la topologie du rseau est connue par le pirate, il
peut le scanner, c'est--dire dterminer l'aide d'un outil logiciel quelles sont les
adresses IP actives sur le rseau, les ports ouverts correspondant des services
accessibles, et le systme d'exploitation utilis par ces serveurs.
L'un des outils les plus connus pour scanner un rseau est Nmap. Cet outil agit en
envoyant des paquets TCP et/ou UDP un ensemble de machines sur un rseau,
puis il analyse les rponses.
Le reprage des failles: Il existe des scanneurs de vulnrabilit permettant aux
administrateurs de soumettre leur rseau des tests d'intrusion afin de constater si
certaines applications possdent des failles de scurit.
Les deux principaux scanneurs de failles sont :
o Nessus (http://www.tenable.com/)
o SAINT (http://www.saintcorporation.com/)

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Intrusion: Pour pouvoir s'introduire dans le rseau, le pirate a besoin d'accder
des comptes valides sur les machines qu'il a recenses. Pour ce faire, plusieurs
mthodes sont utilises par les pirates :
o L'ingnierie sociale, c'est--dire en contactant directement certains utilisateurs du rseau (par
mail ou par tlphone) afin de leur soutirer des informations concernant leur identifiant de
connexion et leur mot de passe. Ceci est gnralement fait en se faisant passer pour
l'administrateur rseau.
o La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers,
permettant de trouver des noms d'utilisateurs valides.
o Les attaques par force brute (brute force cracking), consistant essayer de faon automatique
diffrents mots de passe sur une liste de compte (par exemple l'identifiant, ventuellement suivi
d'un chiffre, ou bien le mot de passe password, ou passwd, etc).
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Extension de privilges: Lorsque le pirate a obtenu un ou plusieurs accs sur le
rseau en se logeant sur un ou plusieurs comptes peu protgs, celui-ci va chercher
augmenter ses privilges en obtenant l'accs root .
Ds qu'un accs root a t obtenu sur une machine, l'attaquant a la possibilit
d'examiner le rseau la recherche d'informations supplmentaires.
Il lui est ainsi possible d'installer un sniffeur, c'est--dire un logiciel capable
d'couter le trafic rseau en provenance ou destination des machines situes sur
le mme brin.
Grce cette technique, le pirate peut esprer rcuprer les couples
identifiants/mots de passe lui permettant d'accder des comptes possdant des
privilges tendus sur d'autres machines du rseau afin d'tre mme de contrler
une plus grande partie du rseau.
Les serveurs NIS (Network Information Service) prsents sur un rseau sont
galement des cibles de choix pour les pirates car ils regorgent d'informations sur
le rseau et ses utilisateurs.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Compromission : Grce aux tapes prcdentes, le pirate a pu dresser une
cartographie complte du rseau, des machines s'y trouvant, de leurs failles et
possde un accs root sur au moins l'une d'entre-elles. Il lui est alors possible
d'tendre encore son action en exploitant les relations d'approbation existant entre
les diffrentes machines.
Cette technique d'usurpation d'identit, appele spoofing, permet au pirate de
pntrer des rseaux privilgis auxquels la machine compromise a accs.
Porte drobe: Lorsqu'un pirate a russi infiltrer un rseau d'entreprise et
compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour ce
faire celui-ci va installer une application afin de crer artificiellement une faille de
scurit, on parle alors de porte drobe.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de matrise suffisant
sur le rseau, il lui reste effacer les traces de son passage en supprimant les
fichiers qu'il a crs et en nettoyant les fichiers de logs des machines dans
lesquelles il s'est introduit.
Il existe des logiciels, appels kits racine (rootkits) permettant de remplacer les
outils d'administration du systme par des versions modifies afin de masquer la
prsence du pirate sur le systme.
En effet, si l'administrateur se connecte en mme temps que le pirate, il est
susceptible de remarquer les services que le pirate a lanc ou tout simplement
qu'une autre personne que lui est connecte simultanment. L'objectif d'un rootkit
est donc de tromper l'administrateur en lui masquant la ralit.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Exercice 1 : Quils sont les objectifs dun attaque par rebond?
Exercice 2 : Expliquer les mots suivants: exploit, scanner, sniffer, spoofing, rootkit
Exercice 3 : Dcrire la mthodologie dune intrusion en gnral?
Exercice 4 : Donner une explication l quation suivante:

Exercice 5 : Pourquoi un ordinateur connect un rseau peut tre attaqu?
Exercice 6 : Quil est l intrt de lopration de balayage du rseau?

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les exploits

Un exploit est un programme informatique conu pour lexploitation d'une
vulnrabilit.
Un exploit est spcifique une version d'une application.
On distingue deux types d'exploits :
-Augmentation des privilges : Les exploits les plus dangereux permettent davoie
les privilges d'administrateur (root ) ;
-Provocation d'une erreur systme : Certains exploits ont pour objectif de faire
planter le systme.
Quelques sites rpertoriant les failles, leurs exploits et leurs correctifs :
o http://www.securityfocus.com/archive/1
o http://www.insecure.org ;
Note: La plupart du temps les exploits sont crits en langage C ou en Perl.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Attaques cryptographiques
Les mots de passe
Lors de la connexion un systme informatique, celui-ci demande la plupart du
temps un identifiant (login ou username) et un mot de passe (password) pour y
accder.
Si les donnes sur le compte de l'utilisateur n'ont pas un caractre stratgique,
l'accs au compte de l'utilisateur peut constituer une porte ouverte vers le systme
tout entier.
o ds qu'un pirate obtient un accs un compte d'une machine, il lui est possible d'largir son
champ d'action en obtenant la liste des utilisateurs autoriss se connecter la machine.
o A l'aide d'outils de gnration de mots de passe, le pirate peut essayer un grand nombre de mots
de passe gnrs alatoirement ou l'aide d'un dictionnaire (ventuellement une combinaison
des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les
permissions sur la machine !
o De plus, partir d'une machine du rseau, le pirate peut ventuellement obtenir un accs sur le
rseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs ctoyant celui
auquel il a obtenu un accs.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

La plupart des systmes sont configurs de manire bloquer temporairement le
compte d'un utilisateur aprs un certain nombre de tentatives de connexion
infructueuses.
En contrepartie, un pirate peut se servir de se mcanisme d'auto-dfense pour
bloquer l'ensemble des comptes utilisateurs afin de provoquer un dni de service.
Sur la plupart des systmes les mots de passe sont stocks de manire chiffre (ou
crypte) dans un fichier ou une base de donnes. Le pirate peut tenter de casser le
mot de passe d'un utilisateur en particulier ou bien de l'ensemble des comptes
utilisateurs.
On appelle attaque par force brute ou attaque exhaustive (brute force
cracking) le cassage d'un mot de passe en testant tous les mots de passe possibles.
o Il existe un grand nombre d'outils, pour chaque systme d'exploitation, permettant de raliser
ce genre d'opration.
o Ces outils servent aux administrateurs systme prouver la solidit des mots de passe de leurs
utilisateurs mais leur usage est dtourn par les pirates informatiques pour s'introduire dans les
systmes informatiques.
Note: Les outils d'attaque par force brute peuvent demander des heures, voire des
jours, de calcul mme avec des machines quipes de processeurs puissants.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


la plupart du temps les utilisateurs choisissent des mots de passe ayant une
signification relle (un prnom, une couleur, le nom d'un animal). Essayant ces
mots pour casser le mot de passe sappelle une attaque par dictionnaire.
Une attaques hybrides, vise particulirement les mots de passe constitu d'un
mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que mohamed12,50). Il
s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.
Il existe des moyens permettant au pirate d'obtenir les mots de passe des
utilisateurs :
o Les key loggers (enregistreurs de touches), sont des logiciels qui, lorsqu'ils sont installs sur le
poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par l'utilisateur. Les
systmes d'exploitation rcents possdent des mmoires tampon protges permettant de
retenir temporairement le mot de passe et accessibles uniquement par le systme.
o L'ingnierie sociale consiste exploiter la navet des individus pour obtenir des informations.
o L'espionnage reprsente la plus vieille des mthodes. Il suffit en effet parfois un pirate
d'observer les papiers autour de l'cran de l'utilisateur ou sous le clavier afin d'obtenir le mot de
passe.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Choix du mot de passe :Un mot de passe de 4 chiffres correspond 10 000
possibilits (10
4
). On lui prfrera un mot de passe de 4 lettres, pour lequel il existe
456972 possibilits (26
4
). Un mot de passe mlant chiffres et lettres, voire
galement des majuscules et des caractres spciaux sera encore plus difficile
casser.
Mots de passe viter :
o votre identifiant
o votre nom
o votre prnom ou celui d'un proche (conjoint, enfant, etc.) ;
o un mot du dictionnaire ;
o un mot l'envers (les outils de cassage de mots de passe prennent en compte cette possibilit) ;
o un mot suivi d'un chiffre, de l'anne en cours ou d'une anne de naissance (password1999).
o Il n'est pas sain d'avoir un seul mot de passe, au mme titre qu'il ne serait pas sain d'avoir
comme code de carte bancaire le mme code que pour son tlphone portable et que le
digicode en bas de l'immeuble.
Note : Il est conseill de possder plusieurs mots de passe par catgorie d'usage, en
fonction de la confidentialit du secret qu'il protge (carte bancaire, messagerie).
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Politique en matire de mot de passe: Toute entreprise souhaitant garantir un
niveau de scurit optimal se doit de mettre en place une relle politique de
scurit de matire de mots de passe.
Il s'agit d'imposer aux employs le choix d'un mot de passe conforme certaines
exigences, par exemple :
o Une longueur de mot de passe minimale
o La prsence de caractres particuliers
o Un changement de casse (minuscule et majuscules)
Il est possible de renforcer cette politique de scurit en imposant une dure
d'expiration des mots de passe, afin d'obliger les utilisateurs modifier
rgulirement leur mot de passe.
Il est recommand aux administrateurs systme d'utiliser des logiciels de cassage de
mots de passe en interne sur les mots de passe de leurs utilisateurs afin d'en
prouver la solidit.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Attaque man in the middle
L'attaque man in the middle (attaque de l'homme au milieu ou MITM) est un
scnario d'attaque dans lequel un pirate coute une communication entre deux
interlocuteurs et falsifie les changes afin de se faire passer pour l'une des parties.
La plupart des attaques de type MITM consistent couter le rseau l'aide d'un
outil appel sniffer.
Attaque par rejeu
Les attaques par rejeu (replay attaque) sont des attaques de type MITM consistant
intercepter des paquets de donnes et les retransmettre tels quel (sans aucun
dchiffrement) au serveur destinataire.
le pirate peut bnficier des droits de l'utilisateur.
o Imaginons un scnario dans lequel un client transmet un nom d'utilisateur et un mot de passe
chiffrs un serveur afin de s'authentifier. Si un pirate intercepte la communication et rejoue la
squence, il obtiendra alors les mmes droits que l'utilisateur. Si le systme permet de modifier
le mot de passe, il pourra mme en mettre un autre, privant ainsi l'utilisateur de son accs.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dnis de service
Introduction aux attaques par dni de service
Une attaque par dni de service (Denial of Service, DoS) est un type d'attaque
visant rendre indisponible pendant un temps indtermin les services ou
ressources d'une organisation.
Il s'agit la plupart du temps d'attaques l'encontre des serveurs d'une entreprise,
afin qu'ils ne puissent tre utiliss et consults.
Le but d'une telle attaque n'est pas de rcuprer ou d'altrer des donnes, mais de
nuire la rputation de socits ayant une prsence sur internet.
Le principe des attaques par dni de service consiste envoyer des paquets IP ou
des donnes de taille ou de constitution inhabituelle, afin de provoquer une
saturation ou un tat instable des machines victimes.
Lorsqu'un dni de service est provoqu par plusieurs machines, on parle alors de
dni de service distribu (Distributed Denial of Service, DDOS).
o Les attaques par dni de service distribu les plus connues sont Tribal Flood Network et
Trinoo.
Pour se protger de ce type d'attaque, il est ncessaire de mener une veille active
sur les nouvelles attaques et vulnrabilits :
o http://windowsupdate.microsoft.com/ , http://www.securityfocus.com/

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dnis de service
La technique dite par rflexion
La technique dite attaque par rflexion(smurf) est base sur l'utilisation de
serveurs de diffusion (broadcast) pour paralyser un rseau.
Un serveur broadcast est un serveur capable de dupliquer un message et de
l'envoyer toutes les machines prsentes sur le mme rseau.
Le scnario d'une telle attaque est le suivant :
o la machine attaquante envoie une requte ping un ou plusieurs serveurs de diffusion en
falsifiant l'adresse IP source et en fournissant l'adresse IP d'une machine cible.
o le serveur de diffusion rpercute la requte sur l'ensemble du rseau ;
o toutes les machines du rseau envoient une rponse au server de diffusion,
o le serveur broadcast redirige les rponses vers la machine cible.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dnis de service

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dnis de service
Attaque du ping de la mort
L attaque du ping de la mort(ping of death) est une des plus anciennes attaque
rseau. Aucun systme rcent n'est vulnrable ce type d'attaque
Le principe du ping de la mort consiste tout simplement crer un datagramme
IP dont la taille totale excde la taille maximum autorise (65536 octets). Un tel
paquet envoy un systme possdant une pile TCP/IP vulnrable, provoquera
un plantage.
Attaque par fragmentation
Une attaque par fragmentation(fragment attack) est une attaque rseau par
saturation(dni de service) exploitant le principe de fragmentation du protocole IP.
A ce jour, les systmes rcents ne sont plus vulnrables cette attaque
o En effet, le protocole IP est prvu pour fragmenter les paquets de taille importante en plusieurs
paquets IP possdant chacun un numro de squence et un numro d'identification commun. A
rception des donnes, le destinataire rassemble les paquets grce aux valeurs de dcalage
(offset) qu'ils contiennent.
o L'attaque par fragmentation la plus clbre est l'attaque Teardrop. Le principe de l'attaque
Teardrop consiste insrer dans des paquets fragments des informations de dcalage errones.
Ainsi, lors du rassemblage il existe des vides ou des recoupements (overlapping), pouvant
provoquer une instabilit du systme.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dnis de service
Attaque LAND
L attaque LAND est une attaque rseau datant de 1997, utilisant l'usurpation
d'adresse IP afin d'exploiter une faille de certaines implmentation du protocole
TCP/IP dans les systmes. Les systmes rcents ne sont aujourd'hui plus
vulnrables ce type d'attaque.
Le nom de cette attaque provient du nom donn au premier code source (appel
exploit) diffus permettant de mettre en oeuvre cette attaque : land.c.
L'attaque LAND consiste ainsi envoyer un paquet possdant la mme adresse IP
et le mme numro de port dans les champs source et destination des paquets IP.
Dirige contre des systmes vulnrables, cette attaque avait pour consquence de
faire planter les systmes ou de les conduire des tats instables.
Attaque SYN
L attaque SYN (pour synchronize) est une attaque par saturation (dni de
service) exploitant le mcanisme de poignee de main en trois temps (Three-ways
handshake) du protocole TCP.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dnis de service
Dans une connexion TCP, le client envoie une requte SYN(tape 1), le serveur
rpond par un paquet SYN/ACK (tape 2) et le client enfin valide la connexion
par un paquet ACK (tape 3) .
Un client malveillant peut annuler l tape 3 et ne pas rpondre (par le message
ACK). Le serveur attend un certain temps avant de librer les ressources qui ont
t rserves pour le client (Il existe un mcanisme d'expiration permettant de
rejeter les paquets au bout d'un certain dlai).
Aprs l'tape 2, la connexion est semi-ouverte et consomme un certain nombre de
ressources du ct du serveur (mmoire, temps processeur, etc.). En gnrant
suffisamment de connexions incompltes de ce type, il est possible de surcharger
les ressources du serveur et ainsi d'empcher le serveur d'accepter de nouvelles
requtes, avec pour rsultat un dni de service.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Techniques dattaques
L'usurpation d'adresse IP
L usurpation d'adresse IP (spoofing IP) est une technique consistant modifier
l'adresse IP de l'expditeur d'un paquet IP par l'adresse IP d'une autre machine.
Cette attaque peut permettre un pirate de faire passer des paquets sur un rseau
sans que ceux-ci ne soient intercepts par le systme de filtrage de paquets (pare-
feu).
o un pare-feu (firewall) fonctionne la plupart du temps grce des rgles de filtrage indiquant les
adresses IP autorises communiquer avec les machines internes au rseau.
o Un paquet spoof avec l'adresse IP d'une machine interne semblera provenir du rseau interne
et sera relay la machine cible.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Modification de l'en-tte TCP : les donnes circulent grce au protocole IP, qui
assure l'encapsulation des donnes dans des structures appeles datagramme IP
(paquet).
Voici la structure d'un datagramme IP:

Usurper une adresse IP revient changer le champ source afin de simuler un
datagramme provenant d'une autre adresse IP. Cependant, les paquets sont
gnralement transports par le protocole TCP, qui assure une transmission dite
fiable.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les liens d'approbation : Le protocole TCP permet, au niveau des applications,
de grer les donnes en provenance (ou destination) de la couche infrieure du
modle OSI (Open Systems Interconnection).
Le protocole TCP permet d'assurer le transfert des donnes de faon fiable grce
un systme d'accuss de rception (ACK) permettant au client et au serveur de
s'assurer de la bonne rception mutuelle des donnes.
Les datagrammes IP encapsulent des paquets TCP dont voici la structure :

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Lors de l'mission d'un paquet, une squence (numro d'ordre) est associ, et un
change de paquets contenant des champs particuliers (drapeaux) permet de
synchroniser le client et le serveur.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Ce dialogue permet d'initier la connexion, il se droule en trois temps:
o Dans une premire tape, le client transmet un segment dont le drapeau SYN est 1, avec un
numro d'ordre N.
o Dans une deuxime tape, le serveur envoie au client un segment dont le drapeau ACK est non
nul et le drapeau SYN est 1 (synchronisation). Le champ le plus important de ce segment est
le champ ACK qui contient le numro d'ordre initial du client, incrment de 1.
o Enfin, le client envoie au serveur un segment dont le drapeau ACK est non nul, et dont le
drapeau SYN est zro (pas de synchronisation). Son numro d'ordre est incrment et le
numro d'accus de rception (ACK) reprsente le numro de squence initial du serveur
incrment de 1.
Annihiler la machine spoofe : Dans le cadre d'une attaque par usurpation
d'adresse IP, la machine spoofe va rpondre avec un paquet TCP dont le drapeau
RST (reset) est non nul, ce qui mettra fin la connexion.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Le hacker n'a aucune information des rponses de la machine cible qui vont vers
une autre machine du rseau (blind attack).

Ainsi, la machine spoofe prive le pirate de toute tentative de connexion, car elle
envoie systmatiquement un drapeau RST la machine cible. Le travail du hacker
consiste alors invalider la machine spoofe en la rendant injoignable pendant
toute la dure de l'attaque. C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Prdire les numros de squence: Une fois la machine spoofe est invalide, la
machine cible attend un paquet contenant le ACK et le bon numro de squence.
Tout le travail de lattaquant consiste deviner le numro de squence (du
serveur).
Pour cela, gnralement les pirates utilisent le champ option de l'en-tte IP afin
d'indiquer une route de retour spcifique pour le paquet. Grce au sniffing, le
pirate sera mme de lire le contenu des trames de retour...

En connaissant le dernier numro de squence mis (par le serveur), lattaquant
tablit des statistiques concernant son incrmentation et envoie des message ACK
jusqu' obtenir le bon numro de squence.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dtournement de session (TCP session hijacking)
Le vol de session TCP : C est une technique consistant intercepter une session
TCP initie entre deux machine afin de la dtourner.
o L authentification s'effectue uniquement l'ouverture de la session, un attaquant russissant
cette attaque parvient prendre possession de la connexion pendant toute la dure de la session.
Source-routing : La technique de dtournement initiale consistait utiliser
l'option source routing du protocole IP. Cette option permettait de prciser le
chemin suivre pour les paquets IP, l'aide d'une srie d'adresses IP indiquant les
routeurs utiliser.
o Le pirate peut indiquer un chemin de retour pour les paquets vers un routeur sous son contrle.
Attaque l'aveugle : Lorsque le source-routing est dsactiv, une deuxime
mthode consiste envoyer des paquets l'aveugle (blind attack), sans recevoir de
rponse, en essayant de deviner les numros de squence.
Man in the middle : Situant sur le mme brin rseau que les deux machines, le
pirate peut couter le rseau et de faire taire l'une des machines en saturant le
rseau afin de prendre sa place.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

ARP poisoning
Cette attaque est de type man in the middle. elle consiste exploiter une faiblesse
du protocole ARP (Address Resolution Protocol) dont l'objectif est de permettre
de retrouver l'adresse IP d'une machine connaissant l'adresse physique (adresse
MAC) de sa carte rseau.
L'objectif de l'attaque consiste s'interposer entre deux machines du rseau et de
transmettre chacune un paquet ARP falsifi prcisant que l'adresse MAC de
l'autre machine a chang, l'adresse MAC fournie tant celle de l'attaquant.
Ainsi, les deux machines cibles vont mettre jour leur table dynamique appele
Cache ARP. chaque fois qu'une des deux machines souhaitera communiquer
avec la machine distante, les paquets seront envoys l'attaquant, qui les
transmettra de manire transparente la machine destinatrice.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Ecoute rseau
L'analyse de rseau : Un analyseur rseau(sniffer) est un dispositif permettant
de capturer les informations qui circulent dans un rseau.
o Dans une utilisation normale les machines ignorent les paquets qui ne leur sont pas destins.
Utilisant l'interface rseau dans un mode spcifique (appel gnralement mode promiscuous) il
est possible d'couter tout le trafic passant par un adaptateur rseau (une carte rseau ethernet,
une carte rseau sans fil, etc.).
Utilisation du sniffer : Un sniffer est un outil permettant d'tudier le trafic d'un
rseau.
o Gnralement il sert aux administrateurs pour diagnostiquer les problmes sur leur rseau ainsi
que pour connatre le trafic qui y circule.
Comme tous les outils d'administration, le sniffer peut galement servir un
attaquant ayant un accs physique au rseau pour collecter des informations.
o Ce risque est plus important sur les rseaux sans fils car il est difficile de confiner les ondes
hertziennes dans un primtre dlimit, si bien que des personnes malveillantes peuvent couter
le trafic en tant simplement dans le voisinage.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

La grande majorit des protocoles Internet font transiter les informations en clair (
non chiffre).
o Lorsqu'un utilisateur du rseau consulte sa messagerie via le protocole POP ou IMAP, ou bien
surfe sur internet sur des sites dont l'adresse ne commence pas par HTTPS, toutes les
informations envoyes ou reues peuvent tre interceptes. Des sniffers spcifiques ont t mis
au point par des pirates afin de rcuprer les mots de passe circulant dans le flux rseau.
Exemple de sniffer:
- Wireshark
- TCPdump
- WinDump

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Balayage de port (port scanning)
Le balayage de ports : Un scanner est un utilitaire permettant un balayage des
ports ouverts (port scanning) sur une machine donne ou sur un rseau tout entier.
Fonctionnement d'un scanner : Un scanner est capable de dterminer les ports
ouverts sur un systme en envoyant des requtes successives sur les diffrents
ports et analyse les rponses afin de dterminer lesquels sont actifs.
En analysant la structure des paquets TCP/IP reus, les scanners volus sont
capables de dterminer le systme d'exploitation de la machine distante ainsi que
les versions des applications associes aux ports.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

On distingue habituellement deux mthodes :
- L'acquisition active d'informations consistant envoyer un grand nombre de
paquets possdant des en-ttes caractristiques et la plupart du temps non
conformes aux recommandations et analyser les rponses afin de dterminer la
version de l'application utilise.
- L'acquisition passive d'informations a un fonctionnement est proche, si ce n'est
qu'il consiste analyser les champs des datagrammes IP circulant sur un rseau,
l'aide d'un sniffer. Ce type d'analyse est ainsi trs difficile dtecter.
Quelque scanners:
- Nessus
- Nmap
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dbordement du tampon (buffer overflow)
Les attaques par dbordement de tampon ont pour objectif l'excution de code
arbitraire par un programme en lui envoyant plus de donnes qu'il n'est cens en
recevoir.
Exemple : les programmes stockent les donnes provisoirement dans une zone de
la mmoire appele tampon. certaines fonctions de lecture, telles que les fonctions
strcpy() du langage C, ne grent pas ce type de dbordement et provoquent un
plantage de l'application pouvant aboutir l'excution du code arbitraire et ainsi
donner un accs au systme.
Pour se protger de ce type d'attaque, il faut dvelopper des applications l'aide de
langages de programmation volus, assurant une gestion fine de la mmoire
alloue ou bien l'aide de langage de bas niveau en utilisant des bibliothques de
fonctions scurises (par exemple les fonctions strncpy()).

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Spam
Le terme spam signifie l'envoi massif de courrier lectronique (souvent de type
publicitaire) des destinataires ne l'ayant pas sollicit et dont les adresses ont
gnralement t rcupres sur internet. Le but premier du spam est de faire de la
publicit moindre prix.
Les spammeurs cherchent des adresses lectroniques sur internet (dans les forums,
sur les sites internet, dans les groupes de discussion, etc.) grce des logiciels,
appels robots, parcourant les diffrentes pages et stockant au passage dans une
base de donnes toutes les adresses lectroniques y figurant. Il ne reste ensuite au
spammeur qu' lancer une application envoyant successivement chaque adresse
le message publicitaire.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Inconvnients :
- l'espace qu'il occupe dans les botes aux lettres des victimes ;
- la perte de temps occasionne par le tri et la suppression des messages non
sollicits;
- le caractre violant ou dgradant des textes ou images vhiculs par ces messages,
pouvant heurter la sensibilit des plus jeunes;
- la bande passante qu'il gaspille sur le rseau des rseaux.
Le spam gnre des cots de gestion supplmentaires pour les fournisseurs d'accs
internet (FAI), se rpercutant sur le cot de leurs abonnements. Ce surcot est
notamment li :
- la mise en place des systmes antispam;
- la sensibilisation des utilisateurs;
- la formation du personnel;
- la consommation de ressources supplmentaires (serveurs de filtrage, etc.).

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Il existe des dispositifs antispam permettant de reprer et de supprimer les
messages indsirables sur la base de rgles volues. On distingue gnralement
deux familles de logiciels antispam :
- Les dispositifs antispam ct client : Il s'agit gnralement de systmes possdant
des filtres permettant d'identifier, sur la base de rgles prdfinies ou d'un
apprentissage (filtres baysiens).
- Les dispositifs antispam ct serveur, permettant un filtrage du courrier avant
remise aux destinataires. Ce type de dispositif est le meilleur car il permet de
stopper le courrier non sollicit en amont et viter l'engorgement des rseaux et
des botes aux lettres.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Pour viter le spam, il est ncessaire de divulguer son adresse lectronique le moins
possible et ce titre :
- Ne pas relayer les messages (blagues, etc.) invitant l'utilisateur transmettre le
courrier au maximum de contacts possible. De telles listes sont effectivement des
aubaines pour les collecteurs d'adresses. Il est ventuellement possible de faire
suivre le message en s'assurant de masquer les adresses des destinataires
prcdents.
- Eviter au maximum de publier son adresse lectronique sur des forums ou des
sites internet.
- Crer une ou plusieurs adresses-jetables servant uniquement s'inscrire ou
s'identifier sur les sites jugs non dignes de confiance.
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

mail bombing
Le mail bombing consiste transmettre plusieurs milliers de messages identiques
une bote aux lettres lectronique afin de la saturer.
o Les mails sont stocks sur un serveur de messagerie, jusqu' ce qu'ils soient relevs par le
propritaire du compte de messagerie. Ainsi lorsque celui-ci relvera le courrier, ce dernier
mettra beaucoup trop de temps et la bote aux lettres deviendra alors inutilisable...
Les solutions au mail bombing sont les suivantes :
- Avoir plusieurs bote aux lettres : une principale que vous ne divulguez qu'aux
personnes dignes de confiance, et une laquelle vous tenez moins, utilise par
exemple pour s'inscrire des services en ligne sur Internet ;
- Installer un logiciel antispam qui interdira la rception de plusieurs messages
identiques un intervalle de temps trop court.

C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Exercice 7 : Expliquer le fonctionnement dun firewall.
Exercice 8 : Donner la signification de chaque champ prsent dans la structure
dun datagramme IP (mme question pour le paquet TCP).
Exercice 9 : Que signifie couter le trafic rseau.
Exercice 10 : quoi servent les logiciels Wireshark, Nump et Nessus?
Exercice 11: quels sont les rles dun sniffer et dun scanneur?
C
h
a
p
i
t
r
e

1
:

I
n
t
r
o
d
u
c
t
i
o
n

l
a

s
c
u
r
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Plan

Critres de scurit et fonctions associes
Domaine dapplication de la scurit
Diffrentes facettes de la scurit
TP1: Tester les outils : ping, traceroute, netstast

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

1. Critres de scurit et fonctions associes
Les scurit informatique doit contribuer satisfaire les critres (objectifs) suivant :
oLa disponibilit
oL intgrit
oLa confidentialit
Ils sajoutent ces trois objectifs deux autres:
o ceux qui permettent de prouver lidentit des entits (notion dauthentification)
oet ceux qui indiquent que des actions ou vnements ont bien eu lieu (notions de
non-rpudiation, dimputabilit voire de traabilit).

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

1. Critres de scurit et fonctions associes

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t


Critres de scurit
Intgrit
Confidentialit
Disponibilit
Non-rpudiation authenticit
1.1 Disponibilit
La disponibilit d un service est la probabilit de pouvoir mener correctement
terme une session de travail.
La disponibilit des services est obtenue:
- par un dimensionnement appropri et aussi une certaine redondance;
- par une gestion efficace des infrastructures.
Exemple : Dans un rseau grande distance et de topologie maille, la disponibilit
sera ralise condition que lensemble des liaison ait t correctement
dimensionn et que les politiques de routage soient satisfaisantes.
Une ressource doit tre assure avec un minimum dinterruption. On parle de
continuit de service.
Ainsi, un arbitrage entre le cot de la sauvegarde et celui du risque
dindisponibilit supportable par lorganisation seront tablis afin que la mise en
uvre des mesures techniques soit efficace.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

1.2 Intgrit
Le critre d intgrit est li au fait que des ressources ou services nont pas t
altrs ou dtruit tant de faon intentionnelle quaccidentelle.
Il est indispensable de se protger contre la modification des donnes lors de leur
stockage, le leur traitement ou de leur transfert.
lintgrit de donnes en tlcommunication relve essentiellement des problmes
lis au transfert de donnes, cependant elle dpond des aspects purement
informatiques (logiciels, systmes dexploitation, environnement d excution,
procdures de sauvegarde, de reprise et de restauration des donnes).
C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

1.3 Confidentialit
La confidentialit peut tre vue comme la protection des donnes contre une
divulgation non autoris.
Deux actions complmentaires permettent dassurer la confidentialit des donnes:
- limiter leur accs par un mcanisme de contrle d accs;
- transformer les donnes par des techniques de chiffrement pour qu elles
deviennent inintelligibles aux personnes n ont pas les moyens de les dchiffrer.
Le chiffrement des donnes (ou cryptographie) contribue en assurer la
confidentialit des donnes et en augmenter la scurit des donnes lors de leur
transmission ou de leur stockage.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

1.4 Identification et authentification
Note : Identifier le peintre prsum dun tableau sign est une chose, sassurer que
le tableau est authentique en est une autre (identification et authentification).
Lauthentification vrifie une identit annonce et de sassurer de la non
usurpation de lidentit dune entit (individu, ordinateur, programme, document,
etc.).
Tous les mcanisme de contrle d accs logique aux ressources informatiques
ncessitent de grer l identification et l authentification.
Exemple :
Je mappelle mohamed identification.
Mon mot de passe est blabla!12345 authentification
C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

1.4 Non-rpudiation
La non-rpudiation est le fait de ne pouvoir nier qu un vnement (action,
transaction) a eu lieu. Ce critre est lis aux notions d imputabilit, de traabilit et
ventuellement d auditabilit.
L imputabilit se dfinit par lattribution dun vnement une entit dtermine
(ressource, personne). Limputabilit est associe la notion de responsabilit.
La traabilit a pour finalit de suivre la trace numrique laisse par la ralisation
dune action (message lectronique, transaction commerciale, transfert de
donnes). Cette fonction comprend lenregistrement des actions, la date de leur
ralisation et leur imputation. Exemple : Trouver ladresse IP dun machine partir
duquel des donnes ont pu tre envoyes (fichier log).
Lauditabilit est la capacit dun systme garantir les informations ncessaires
une analyse dun vnement dans le cadre de procdures de contrle et daudit.
Laudit peut tre mis en uvre pour vrifier, contrler, valuer, diagnostiquer l
tat de scurit dun systme.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

2. Domaine dapplication de la scurit
Toute les activits informatiques sont concernes par la scurit dun systme
dinformation.
Selon le domaine dapplication la scurit informatique a plusieurs aspects :
- Scurit physique ;
- scurit de lexploitation;
- scurit logique ;
- scurit applicative;
- scurit des communications.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

2.1 Scurit physique
La scurit physique est lie tous les aspects lis la maitrise des systmes et de
l environnement dans lequel ils se situent.
La scurit repose essentiellement sur:
- les normes de scurit;
- la protection des sources nergtiques (alimentation, etc.);
- la protection de lenvironnement (incendie, temprature, humidit, etc.);
- la protection des accs (protection physique de quipement, locaux de
rpartition, tableaux de connexion, infrastructure cble, etc.);
- la suret de fonctionnement et la fiabilit des matriels (composants, cbles, etc.);
- la redondance physique;
- le marquage des matriels;
- Le plan de maintenance prventive (test, etc.) et corrective (pice de rechange,
etc.);
-

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

2.2 Scurit de l exploitation
La scurit de l exploitation concerne tout ce qui est li au bon
fonctionnement des systmes informatiques.
La scurit de l exploitation dpend fortement de son niveau d industrialisation,
qui est qualifi par son niveau de supervision des applications et lautomatisation
des tches.
Les points critiques de la scurit de l exploitation sont les suivant:
- plan de sauvegarde;
- plan de secours;
- plan de continuit;
- plan de tests;
- inventaires rguliers et si possible dynamique;
- gestion du parc informatique;
- gestion des configuration et des mises jour;
- gestion des incidents et suivi jusqu leur rsolution;
- analyse de fichiers de journalisation et de comptabilit;
-
C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

2.3 Scurit logique
La scurit logique fait rfrence l laboration de solutions de scurit par des
logiciels contribuant au bon fonctionnement des applications et services.
La scurit logique repose en grande partie sur des techniques de cryptographie
par des procdures dauthentification, par des antivirus, des procdures de
sauvegarde et de restitution des informations sensibles sur des supports fiables et
spcialement protgs et conservs dans des lieux scuriss.
Afin de dterminer le degr de protection ncessaire aux informations manipules,
une classification des donnes est raliser afin de qualifier leur degr de
sensibilit (normale, confidentielle, etc.).

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

2.4 Scurit applicative
La scurit applicative comprend le dveloppement de solutions logicielles
(ingnierie du logiciel, qualit du logiciel) ainsi que leur intgration et excution
harmonieuses dans des environnements oprationnels.
Elle sappuie essentiellement sur l ensemble des facteurs suivants:
- une mthodologie de dveloppement (respect des normes);
- la robustesse des applications;
- des contrles programms;
- des jeux des tests;
- des procdures de recettes;
- l intgration de mcanisme de scurit, doutils d administration et de contrle
de qualit dans les applications;
- un plan de migration des application critiques;
- la validation et laudit des programmes;
- un plan dassurance scurit;
-

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

2.4 Scurit des communications
La scurit des communications consiste offrir lutilisateur final une
connectivit fiable et de qualit de bout en bout (end to end security).
Ceci implique l laboration dune infrastructure rseau scurise au niveau des
accs, de lacheminement , des protocoles de communication, des systmes d
exploitation et des quipements de tlcommunications et des supports de
transmission.
La scurit des tlcommunications ne peut elle seule garantir la scurit des
transfert des donnes. Il est galement impratif de scuriser l infrastructure
applicative dans laquelle s excutent les applications sur les systmes dextrmit
au niveau de l environnement de travail de lutilisateur et des applications.
Le scurit des tlcommunications ne peut senvisager sans une analyse de risque
spcifique chaque organisation en fonction de son infrastructure
environnementale, humaine, organisationnelle et informatique.
C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

3 Diffrentes facettes de la scurit
La scurit informatique dune organisation doit envisager dune manire globale
et stratgique. Elle passe par la ralisation dune politique de scurit, la
motivation et la formation du personnel ainsi que par loptimisation de lusage des
technologie de linformation et des communications (TIC).
La maitrise de la scurit est une question de gestion. La scurit informatique
passe par une gestion rigoureuse de la logistique, des ressources humaines, des
systmes informatiques, des rseaux, des locaux et de linfrastructure
environnementale et des mesures de scurit.
Exemple : Des techniques comme ceux chiffrement ou les firewalls ne permettent
pas de scuriser un environnement protger sils ne sont pas inscrit dans une
dmarche de gestion de risque prcise.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

3.1 Diriger la scurit
diriger la scurit correspond la volont de maitriser:
- les risques correspondant lusage des technologies de linformation;
- les cots pour se protger des menaces;
- les moyens mettre en place pour ragir une situation non sollicit mettant en
danger la performance du systme dinformation et ainsi celle de lorganisation.
La scurit repose sur des axes complmentaires managrial, technique et
juridique qui doivent tre traits de manire complmentaires.
La scurit nest jamais acquise dfinitivement. La constante volution des
besoin, des systmes, de menaces et risques rend instable toute mesure de scurit.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

3.2 Importance du juridique dans la scurit
Il est ncessaire que les responsables puissent prouver que des mesures suffisante
de protection du systme dinformation et des donnes ont t mises en uvre
afin de se protger contre un dlit de manquement la scurit. Il existe une
obligation de moyen concernant les solutions de scurit.
Les responsables d organisation doivent tre attentifs l gard du droit des
nouvelles technologies et de sassurer que leur systme dinformation est en
conformit juridique.
Les enjeux juridique doivent tre pris en compte dans la mise en place des mesures
de scurit, quils soient relatif la conservation des donnes, la gestion de
donnes personnelles des clients, etc.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

3.3 Ethique et formation
une thique scuritaire doit tre labore au sein de l entreprise pour tous les
acteurs du systme d information; elle doit se traduire par une charte reconnue
par chacun et par un engagement personnel la respecter.
Une charte dutilisation des ressources informatiques et des services Internet doit
comprendre des clauses relatives:
- son domaine dapplication
- les rgles dutilisation professionnelle, rationnelle et loyale des ressource;
- les procds de scurit;
- les condition de confidentialit;
-
Des actions d information et de formation sur les enjeux, les risques et les
mesures prventives et dissuasives de scurit sont ncessaires pour duquer l
ensemble du personnel adopter une dmarche de scurit.
La signature de la charte de scurit doit saccompagner de moyens aux
signataires afin quils puissent la respecter.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

3.4 Architecture de scurit
Larchitecture de scurit correspond l ensemble des dimensions
organisationnelle, juridique, humaine et technologique de la scurit informatique
prendre en considration pour une apprhension complte de la scurit dune
organisation.
Disposer d un cadre architectural permet d avoir un rfrentiel de scurit qui
facilite la ralisation oprationnelle de la scurit ainsi que son valuation lors
daudit.
La conception dun systme d information distribu et scuris passe
imprativement par la dfinition pralable dune structure conceptuelle qu est la
l architecture de scurit.

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

3.4 Architecture de scurit

C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

Dimension humaine

Ethique Sensibilisation
Formation Dissuasion
Comptence Surveillance
Etc.
Dimension technique

Scurit matrielle Scurit logique
Scurit environnementale
Scurit applicative Scurit des tlcoms
Scurit de lexploitation
Dimension juridique

Normes Lgislation
Procdures Fichiers normatifs
Conformit Licence logiciel
Etc.
Dimension politique /conomique

Responsabilit Contrle
Organisation Optimisation
Mythologie Maitrise des cout
Gestion Assurance
Evaluation Etc.

Exercice 11 : Quels sont les objectifs de la scurit informatique?
Exercice 12 : Pourquoi la scurit dun rseau relve dune problmatique de
gestion?
Exercice 13 : Justifier le fait qu on doit labor les mesures de scurit dun
manire globale?
Exercice 14 : Discute la notion darchitecture de scurit? explique comment ses
diffrentes dimensions sont complmentaires.
C
h
a
p
i
t
r
e

2
:

P
r
i
n
c
i
p
e

d
e

s
c
u
r
i
t

Plan

Comprendre la criminalit
Vulnrabilit d une infrastructure Internet
Crime informatique et cybercriminalit
Attaques informatiques via Internet
Maitrise du risque informatique dorigine criminelle
TP2: Prendre le contrle d un PC distance avec le logiciel VNC
(Implmentation d une port drobe ou Backdoor)

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

1. Comprendre la criminalit
Trois sources de problmes de scurit existent :
oles pannes, mes erreurs et les accidents auxquels on associe l incomptence (
erreur de conception, de dimensionnement, dadministration systme, de
programmation, dutilisation, mise hors tension lectrique d origine
accidentelle.);
oLes catastrophe naturelle (foudre, inondation, tremblement de terre);
oLa malveillance (vol, sabotage, destruction)
Il est ncessaire de s intresser la criminalit informatique, la manire dont
elle sexprime, et ses acteurs afin de stopper les danger et intervenir le plus
efficacement possible lors de la survenue dincident.
En dautre terme, il faut apprendre l'attaque pour mieux se dfendre.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

2. Vulnrabilit d une infrastructure Internet
1) Elments de vulnrabilit dune infrastructure Internet

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Caractristiques d Internet exploites des fins criminelles
Du point de vue des technologies Internet
- technologie publique, ouverte
- historique d volution
- n intgre pas en natif des mcanisme de scurit
- conception des technologies best effort
- disponibilit d outils de gestion rseau, danalyse
de trafic, daudit, de chiffrement
- disponibilit d outils d attaque
Du point de vue des systmes
- permissivit des configurations
- attractivit des systmes (cible)
- gestion inadapte
- approche parcellaire de la scurit
Du point de vue du rseau
- connectivit tendue
- multiplicit, distribution des lments constitutifs
- absence de contrle global
- dimensionnement insuffisant
Caractristiques du numrique
- immatriel
- virtuel
- dmatrialisation
Caractristiques du systme juridique
- juridique multiple
- paradis digital
De point de vue des utilisateurs
- diffrent catgories : administrateurs systmes,
webmasters, gestionnaires, concepteurs,
dveloppeurs, utilisateurs professionnels, individus,
bidouilleurs, etc.
- nombre important et croissant
- formation et comptences variables
- caractre imprvisible
- comportement inadapt
- thique insuffisante
- mauvaise utilisation des solution de scurit
- gestion de la scurit dfaillante
2) Internet comme facteur de performance pour le monde criminel
Dmatrialisation :
- La dmatrialisation des transactions, des acteurs, des changes ainsi que lusage
par le criminel de solutions de stganographie, de chiffrement, et danonymat,
permettent des liaisons entre criminels sans contact physique direct (monde
virtuel).
- Etant immatriel, linformation numrique acquiert une double vulnrabilit
relative son contenant et son contenu (physique et logique).
- La notion de donne dorigine na pas de sens (comme dfinir un vol de donne).
Universalisation et dpendance :
- La dpendance des institutions et des tats aux technologique Internet, et l
interdpendance des infrastructure critiques, introduisent un degr de vulnrabilit
non ngligeable dans le fonctionnement normal des organisations.
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Disponibilit d outils :
- La disponibilit doutils d exploitation des failles des systmes, lexistence de
bibliothques dattaques offrant une large gamme de logiciels malveillants
capitalisant le savoir-faire criminel dans un programme, contribuent raliser des
dlits via des attaques informatiques.
- Le cyberespace, ou les actions se ralisent caches derrire un cran et
distance, facilite pour certains le passage l illgalit sans parfois de prise de
conscience relle de la dimension criminel de leurs actes.
Relative impunit :
- Les criminel tirent profit de laterritorialit d Internet, de l inexistence dans
certains Etats de lois empchant le crime informatique et des juridictions multiple
dont relve l Internet.
- Selon les pratiques morales et thiques, tout ce qui est illgal off line est illgal
on line.
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

3) Internet au cur des stratgies criminelles
Le crime conomique nest pas uniquement rserv la criminalit organise
puisque les outils informatique et tlcoms le mettent la port dindividus isols.
Internet permet la ralisation de crimes classiques (comme le blanchiment
dargent, lenrichissement illicite, l incitation la haine racial).
4) Risque d origine criminelle et inscurit technologique
La maitrise insuffisante des technologie du fait de leur complexit, la dpendance
ces technologies et l interdpendance des infrastructures ainsi que la ralit de la
criminalit informatique, confrent un certain degr d inscurit inhrent l
usage extensif des nouvelles technologies et des risques associs.
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

3. Crime informatique et cybercriminalit
1) Elment de dfinition
Cyberespace un ensemble de donnes numrises constituant un univers dinformation et un
milieu de communication, li linterconnexion mondiale des ordinateurs (Petit Robert).
La cybercriminalit peut tre dduite de celle de crime informatique, dlit pour
lequel un systme informatique est l objet du dlit et/ou le moyen de le raliser.
Exemple 1 : Le blanchiment d argent est dnomm crime des crimes dans la
mesure ou il existe du fait d activits initiales illgales (argent du crime) et que les
revenue gnrs par le blanchiment permettent de raliser dautre crime.
Exemple 2 : Certains placement boursiers en ligne, site de e-commerce, cyber-
casinos, de e-banking, comme les transactions foncier et de l immobilier via le net,
la cration de socits virtuelles cran, les portes monnaie lectroniques peuvent
tre utiliss pour effectuer les oprations de blanchiment.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Un crime informatique (computer related crime) est un dlit pour lequel un
systme informatique est l objet du dlit et/ou le moyen de l accomplir. Cest un
crime li aux technologie du numrique.
Le cybercrime (cybercrime) est une aspect du crime informatique qui fait appel
aux technologies internet pour sa ralisation. Cela concerne tous les dlits
accomplis dans le cyberespace.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Moyen
Cible
Acte ralis cach derrire un cran et distance
Ubiquit du criminel dans l espace et dans le temps
Savoir-faire criminel embarqu dans le logiciel
Commission automatise des dlits, grande chelle
Crime informatique
Cybercrime
Systme informatique
Objet du dlit et/ou moyen de ralise un dlit
2) Dimension terroriste des cyberattaques
La dimension terroriste des cyberattaques concerne celles portant sur des systmes
impliques dans des infrastructures critiques, essentielles au bon fonctionnement
des activits dun pays (nergie, eau, transport, logistique alimentaire,
tlcommunications, banque et finance, services mdicaux, fonctions gouverneaux,
etc.). Ces derniers voient leur vulnrabilit augmente par un recours intense aux
technologies Internet.
Actuellement, la dfinition du cyberterrorisme nest pas claire. Une dfinition
simple serait de considrer le cyberterrorisme comme du terrorisme appliqu au
cyberespace.
Le terrorisme fait rfrence lemploi systmatique de la violence pour atteindre un but
politique (Petit Robert) .

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Dans ce cadre de comprendre le concept de terrorisme numrique, nous sommes
en droit de nous demander :
- De quelle faon des actes portant atteinte l intgrit de systmes ou de donnes
informatiques constituent une violence physique ou morale suffisamment
importante pour gnrer la peur et constituer des moyens de pression contribuant
la ralisation d objectif politiques dtermins;
- Est-ce un blocage partiel ou total ventuel d Internet, suite des actes de
malveillance, serait susceptible de provoquer la peur , la terreur auprs de la
population? Au sein de la communaut des internautes? De certains acteurs
conomiques particuliers?
- Ne s agirait-il plutt et le plus souvent de terrorisme conomique visant les
entits qui ralisent des activits grce l Internet?

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

3) Nouvelles menaces
La scurit intrieure d un pays est actuellement confronte des formes d
expression de menaces criminelles lies l existence des technologies de l
information.
Les technologies d Internet sont au centre de la guerre de linformation
(infoguerre, infowar) dont les enjeux sont avant tout d ordre conomique et les
impacts importants pour le bon droulement des activits.
Internet permet non seulement le traitement de l information mais est aussi un
outil privilgi pour rpandre des rumeurs ou toute forme d intoxication ou de
compagne de dstabilisation. Les activits despionnage est de renseignement
par exemple sont facilites puisqu il est devenu ais d intercepter des
informations transfres sur Internet.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

4. Attaques informatiques via Internet
1) Schma et tapes de ralisation d une attaque
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Malveillant
Bibliothque dattaques:
- Usurpation de mots de
passe
- leurres
- Failles technologique,
de conception, de
configuration, etc.
Cible
Phase de collecte d
information
Recherche de vulnrabilit
Ingnierie sociale
Savoir faire et
exploitation des
informations
recueillies et des
failles
Intrusion
Extra filtration
Problmes
scuritaires
Pertes directes
Pertes indirectes
1
2
3
4
5
La premire phase de la ralisation d une attaque est lies la collecte d
information sur la cible et la recherche de vulnrabilit d un systme (phase 1).
Le malveillant semploie connatre et exploiter les failles se scurit connues
mais non encore rpares (non patches) et utiliser les outils d attaques
ventuellement disponibles en ligne (phase 2) pour accder au systme cible et
excuter son action malveillante (phase 4).
La phase d exfiltration (phase 5) a pour buts principaux de faire en sorte que l
attaque ne puisse tre dtecte et que l attaquant ne laisse pas de trace pouvant
servir son identification. Pour arriver cela, il tente de rester anonyme, il peut
alors utiliser des alias (pseudonymes), usurper l identit numrique d utilisateurs
ou encore brouiller les pistes en passant par plusieurs systmes intermdiaires
(relais).
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

2) Attaques actives et passives
Les attaques sont gnralement fondes sur lusurpation de paramtres de
connexions, de mots de passe dayant droit ainsi que sur le leurre et l exploitation
de failles et vulnrabilits.
Les attaques qui modifiant les donnes sont dites attaques actives, tandis que
celles relevant de l coute interception (man in the middle) sans altration des
donnes sont qualifies d attaques passives.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Attaque passive
Interception, coute
Attaque active
Modification, fabrication, interruption, dni de service
Disponibilit Intgrit Authenticit Confidentialit
3) Attaque fondes sur l usurpation de mots de passe
Pour possder les mots de passe des utilisateurs, le fraudeur dispose d une
panoplie d astuces:
- Le mot de passe est vident deviner (prnom de la personne, du conjoint, de
ses enfants, dates de naissance, etc.).
- Le mot de passe peut tre volontairement communiqu par l utilisateur lui-
mme par complicit.
- Le fraudeur peut leurrer (tromper) les utilisateurs, par tlphone en se faisant
passer pour un administrateur rseau et demander pour des raison techniques par
exemple, les paramtres de la connexion. Aussi la pche aux informations de
connexion passe par la messagerie (phishing).
Note : le phishing est l exploitation de la messagerie pour leurrer les internautes
afin de les inciter livrer eux-mmes, sur un site web, leurs informations sensibles
(identifiants, mots de passe, numros de compte) qui seront ensuite exploites
des fins malveillantes.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Il suffit de raliser une coute passive par surveillance (sniffer) des paquets IP qui
transitent sur un rseau pour connaitre des mots de passe vhiculs en clair par les
protocoles de communication.
Note : Un sniffer est une entit passive et sa prsence est trs difficile dtecter.
Pour restreindre son champ daction, une parade envisageable consiste
segmenter le rseau.
En cas de capture de mot de passe crypt, le malveillant tentera par exemple de
deviner le mot de passe en essayant toutes les permutations possibles pouvant
constituer une cl pour dchiffrer le mot de passe. Il peut utiliser lattaque en force
(brute force attack) ou une attaque par dictionnaire (dictionary attack).
Pour sapproprier des mots de passe, on peut introduire dans le poste de travail de
lusager, un logiciel espion ou encore un cheval de Troie. Il sagit d un petit
programme qui se substitue gnralement celui qui permet d effectuer le login et
demande lutilisateur son identification et son mot de passe. Le mot de passe est
alors directement captur et mmoris par le cheval de Troie qui l envoi au
serveur de messagerie anonyme auquel se connectera le fraudeur. C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Les micro-ordinateurs ont pour la plupart un camera vido et un microphone. Ces
priphrique activs la disposition de l utilisateur, comme des dispositif logique
ou physique d espionnage permettant de surveiller et de capter de l information
sans le consentement de l utilisateur (avoir les mots de passe).
Pour qu un systme dauthentification fonctionne, il est ncessaire de sauvegarder
dans un serveur, et de manire sur les mots de passe des utilisateurs. Il ne faut pas
autoriser un accs anonyme sur le serveur d authentification, et dsactiver le
protocole TFTP ( Trivial File Transfer Protocol) qui permet davoir accs des
fichiers sans le contrle d authentification.
La seul mthode dauthentification qui propose une protection relle contre
lutilisation de mots de passe drobs est celle fonde sur des mots de passe
usage unique (smart card).
Note 1 : Il existe des identification biomtrique.
Note 2 : Un utilisateur peut se voir accus des malveillances commises par l
usurpateur de ses paramtres de connexion.
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

4) Attaques fondes sur le leurre
La ralisation de malveillances bases sur le leurre se base sur l usurpation d
identit, des paramtres de connexion, d adresse IP, sur des modification affectant
le routage (redirection de flux de donnes), sur le vol de connexion TCP ou sur le
dtournement de flux applicatifs.
Les malveillances exploitent les possibilits intrinsques des divers protocoles de
communication d l Internet. L exploitation frauduleuse de ces technologies est l
expression d une forme descroquerie lectronique qui permet de leurrer les
systmes et les utilisateurs.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

5) Attaques fondes sur le dtournement des technologies
Une attaque menant un dni ou refus de service peut tre ralises en sollicitant
excessivement des ressources. N ayant pas la capacit de traiter un tel afflux de
demandes, les systmes cibls surchargs par un trop grand nombre de requtes
(lgales), s effondrent et deviennent indisponibles.
Exemple : Il peut sagir d attaque par inondation de messages (e-mail bobming).
Cela consiste submerger la boite aux lettres lectroniques d un utilisateur par un
grand nombre de messages, ce qui entraine, outre des dsagrments, des dnis de
service.
La majorit d attaques dont sont lobjet les sites web des entreprises, sont celles
qui les rendent indispensable. Les cibles de ce type dattaque sont tous les systmes
jouant un rle important dans la ralisation des services (serveurs web, routeurs,
serveurs de nom, etc.).
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

6) Attaques fondes sur la manipulation d information
plusieurs dattaques consistent en une modification de la page d accueil d un site
web (defacemnt attack). Les fraudeurs substituent une page de leur conception,
dont le contenu est variable selon leur motivation, une vraie page du site.
Des variantes plus lucratives de ce genre d attaque ont pour objectif de rediriger l
utilisateur vers un faux site, ressemblent exactement celui auquel il sest
initialement connect, afin de lui soustraire par exemple son numro de carte
bancaire lors daction de phishing par exemple.
Il est possible de sattaquer des sites dinformation et de altrer le contenu de
certaines pages ou dpches pour provoquer des mouvements de panique, ou faire
fluctuer le cours dactions dune socit par exemple (infoguerre).
Note : Les possibilits de manipulation des opinions sont alors sans limite et
peuvent avoir des consquences plus ou moins importantes pour les individus.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

5. Maitrise du risque informatique dorigine criminelle
1) Limites des solutions de scurit
Quelles que soient les motivations des acteurs de la criminalit informatique, celle-
ci gnre toujours des consquences conomiques non ngligeables fragilisant les
organisations. Cest la scurit informatique de contribuer rduire le risque
technologique encouru.
Les solution de scurit informatique sont des rponses statiques un problme
dynamique mais surtout des reposes dordre technologique des problmes
humains, criminels, managriaux et lgaux.
La diversification des lments matriels, logiciels, rseaux et des acteurs implique
comme l inexprience et l inconscience de certains utilisateurs, favorisent
lexpression de la criminalit informatique.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

2) Complexit du problme
Lexpertise des attaquants, la sophistication de lefficacit des attaques, les boites
outils dattaques ainsi que le nombre d attaques ne cessent de croitre.
Non seulement le nombre de personnes, de system et dorganisations connects
internet augmente, mais les infrastructures de traitement et de communication de
linformation possdent des failles intrinsques de scurit.
Exemple : Il est illusoire de penser que des solutions dordre technologique ou
juridique viendront suppler les erreurs de conception et de gestion de
linformatique et des tlcoms, que cela au niveau stratgique, tactique ou
oprationnel.
Les technologies de scurit existent, mais elles peuvent tre dfaillante, induire de
nouvelles failles, gnrer de nouveaux risques, tre incohrents, avoir des
implmentations complexes ou encore tre contournes par des procdures
parallles.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

3) Approche interdisciplinaire de la scurit
Il est impratif de concevoir et de raliser des plans de continuit et des plans de
secours qui intgrent les contraintes lies l investigation et la poursuite de la
criminalit informatique. Cela se rsume, la rsolution dune problmatique de
ratios notamment entre les couts des mesures et les impacts des dlits potentiels, et
entre les dlais dintervention des investigateurs et les dlais de restauration des
contextes de travail.
La diversit et la pluralit des acteurs (ingnieurs, dveloppeurs, auditeurs,
intgrateurs, juristes, investigateurs, clients , fournisseur, utilisateurs, etc.), la
diversit d intrts de visions, denvironnements, de langages rendent difficile la
cohrence globale des mesures se scurit.
Seules une apprhension globale et systmatique des acteurs et intervenants
pourraient contribuer offrir le niveau de scurit attendu.
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

4) Lutte contre la cybercriminalit et respect de l intimit numriques
Les outils de lutte contre la criminalit informatique peuvent potentiellement
mettre mal les droits de lHomme et aller l encontre de la confidentialit des
donnes personnelles.
Exemple: la scurit passe par la surveillance, le contrle et le filtrage des
communications. Toutefois, des garde-fous doivent tre mis en place pour viter
des abus de pouvoir , de situation dominante et toutes sortes de drives totalitaires
afin de garantir le respect des droits fondamentaux, notamment celui du respect de
l intimit (numrique) et de la confidentialit des donnes caractre personnel.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

5) Typologie des comportements des organisations face au risque informatique d
origine criminelle
Chiffre noir de la cybercriminalit : le manque de statistiques officielles trouve
largement ses origines par le fait que les organisations :
- Ne souhaitent pas forcement communiquer le fait quelles sont ou ont t
victimes din acte cybercriminel; ce qui rvlerait leur vulnrabilit technologique
ou dfaillance scuritaire;
- Ignorent qu elles sont victimes d une malveillance,
- Ne savent pas grer une situation de crise,
-
Culture de la scurit : il faut distinguer les organisation qui possdent une culture de
la scurit et qui se sont dotes de moyens financiers, organisationnels, humains et
technologique pour grer la scurit de leur systme dinformation, de celles qui ne
lont pas.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Nuisance lies au spam, Virus, Phishing : On constate une augmentation des
programmes malveilants ou indsirables s excutant linsu de lutilisateur. Il sagit
de tlcharger et implanteur (downloader), keyloggers, bot-rebots, de logiciels
publicitaires (adware, advertising softaware) ou de logiciel espion (spyware, spying
software).
Intrusion des systmes : lintrusion des systmes peut conduire par exemple
lespionnage, linstallation de programme malveillants, la prise de contrle des
systmes, la falsification de site web, au vol de donnes, des dnis de service.
Les responsables scurit sattachera limiter la propagation dune attaque (en
dconnectant du rseau la machine ou les machines atteints), rduire les impacts
de lattaque et rparer les atteintes ou dgts engendrs. Eventuellement, il
cherchera comprendre lincident et en identifier lorigine.
Chantage : les alternatives offertes aux organisations sont les suivantes:
- ignorer la demande;
- signifier que lentreprise possde des moyens didentifier le malveillant;
- payer la ranon demande;
- dnoncer aux autorits comptentes la tentative de racket, etc.

C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

6) Pour une approche complmentaire de la matrise de la criminalit et de la
scurit
Prise en conscience internationale, sujet de dbats politique et juridique mais aussi
sujet dtudes technologique, sociologique et conomique, la cybercriminalit
touche les individus , les organisations et les tats.
Sa matrise ne peut donc se rduire son apprhension selon une seule dimension,
quelle soit lgale ou technique, au dtriment de toutes les autres. Seule une
approche interdisciplinaire du phnomne pourra contribuer l apprcier et donc
mettre en place des mesures efficaces de prvention et de rduction.
Cependant, les cyberattaques ne modifient pas le champ dapplication de la
scurit informatique. Il sagit toujours dassurer les mmes critres de base : la
disponibilit, la confidentialit, l intgrit, la preuve, lauthenticit.
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e


Exercice 15 : Pourquoi louverture des systmes dinformation des organisations
par le rseaux de tlcommunications pose - t- elle des problmes des scurit?
Exercice 16 : Quelles sont les caractristiques d Internet qui peuvent tre
exploites des fins criminelles?
Exercice 17 : Quels sont les vnements qui ont contribu lvolution de la
perception de la menace cybercriminelle?
Exercice 18 : Quels sont les principaux types dattaques ralisables via internet?
Exercice 19 : Quels sont les principaux dangers lis la messagerie lectronique en
matires de cybercriminalit?
Exercice 20 : Quelles sortes de dlits sont favorises par Internet?
C
h
a
p
i
t
r
e

3

:

S
c
u
r
i
t

e
t

c
r
i
m
i
n
a
l
i
t

i
n
f
o
r
m
a
t
i
q
u
e

Plan

Connaitre les risques pour les matriser
Vision stratgique de la scurit
Dfinir une stratgie de scurit
Prise en compte des besoins juridiques
Scurit et socit de l information
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

1. Connaitre les risques pour les matriser
Pour une entreprise, lobjectif de la scurit informatique est de garantir
quaucune perte ne puisse mettre en danger son dveloppement.
Exemple : Il faut rduire la probabilit de voir des risques se concrtiser,
diminuer les atteintes ou dysfonctionnements, et permettre le retour un
fonctionnement normal des cots et des dlais acceptables en cas d incident.
Une stratgie de scurit est labore selon deux approches :
- dmarche proactive : avoir une conduite gnrale de protection et de
lorganisation de la dfense ;
- dmarche ractive : l laboration de plans de raction.
La scurit informatique s inscrit dans une dmarche d intelligence
conomique afin de matriser des risques technologiques, oprationnels et
informationnels.
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Objectifs de la scurit :
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Incident
Dfense

Mesures ractives
- Limiter les atteintes et les
dysfonctionnements
- Retour un tat normal
Protection

Mesures proactives
- Diminuer la probabilit de
la survenue des menaces
INTELLIGENCE CONOMIQUE

une dmarche scuritaire est constitu de trois phases principales.
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Stratgie
dentreprise
Stratgie de
scurit
Valeurs/Analyse des risques
Risque oprationnel
Risque informatique
Risque informationnel
Risque technologique
Risque financier
Risque dimage
Risque de rputation
Risque rsiduel

Politique de scurit
valuation
Optimisation
Mesures de scurit
Outils
Procdures
1
2
3
ANALYSE
MISE EN OEUVRE
CONTRLE ET SUIVI
1) Premire phase :
la premire phase (1) consiste connaitre les valeurs de lorganisation, leur degr
de vulnrabilit en fonction de menaces et le risque de perte totales ou partielle de
ces valeurs. Ainsi, une vision de ce qui doit tre protg formule.
Il sagit d laborer une vritable stratgie de protection et de gestion de la scurit
en fonction des besoins de scurit des valeurs et menaces identifies qu encoure
lorganisation.
La pertinence de lanalyse des risques dpendra de lidentification exacte des
moyens et des mesures mettre en ouvre pour scuriser efficacement les
ressources de lorganisation.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

2) Deuxime phase :
La phase suivante (2) consiste choisir et mettre en place les outils, mesures et
procdures ncessaires la gestion des risques et la scurit des systmes,
services et donnes.
L optimisation de la dmarche scuritaire passe par l laboration de :
- la politique de scurit pour rpondre aux exigences de maitrise des risques;
- la pertinence de la stratgie envers les risques encourus;
- ladaptation des solutions de scurit aux besoins en fonction des moyens
financiers dgags;
- ladquation de mesures les unes par rapport aux autres.
3) Troisime phase :
une valuation priodique (phase 3) voir continue des mesures de scurit en
vue de leur rationalisation et optimisation, vise rponde le mieux possible l
volution de l environnement dans lequel elles sinscrivent.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Implmenter une stratgie de scurit consiste faire le compromis les plus
judicieux possible entre :
- le cot des mesures de scurit supporter pour viter les risques qui pourraient
affecter le patrimoine dune entreprise,
- et le cot des impacts de ces risques sil ny avait pas de mesures.
Pour dfinir une stratgie, il nexiste pas de stratgie recette. Chaque
organisation a son propre stratgie : contexte denvironnement informationnel, de
scenario de risque, etc.
Il existe des invariants mthodologique qui simplifient l apprhension dune
dmarche scuritaire.
Exemple : Une organisation peut annuler la mise en uvre d un dispositif de
secours (backup) de son centre informatique au regard de son cot si ce cot peut
savrer trs lev en termes de ressources utiliser .

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Risques et plan daction scurit:
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t


Analyse de risque

valuation
Contrle
Validation
Optimisation
Politique de scurit
Pilotage
Moyens financiers, organisationnels, humains, technologique,
Mise en uvre oprationnelle de mesures efficaces de scurit

Matrise de risques
Identification des valeurs
Analyse des menaces
Identification des impacts
2. Vision stratgique de la scurit
1) Fondamentaux
Il faut que les solutions de scurit informatique assurent tout ou une partie des
proprits suivantes:
- La disponibilit (aucun retard) : permet laccessibilit en continu sans
dgradation, ni interruption;
- L intgrit (aucune falsification) : maintient intgralement les donnes et les
programmes sans altration;
- La confidentialit (aucune coute illicite) : permet de maintenir le secret de
linformation et assure l accs aux seules entits autorises (intimit numerique);
- La prennit (aucune destruction) : les logiciels et les donnes sont stocks, ils
sont conservs le temps ncessaire;
- La non-rpudiation et limputabilit (aucune contestation) : garantit la
connaissance de lorigine et de la destination d une action ainsi que l
identification des entits responsables;
- Le respect des contraintes rglementaires ou lgales (aucun risque juridique);
- Lauthentification (pas de doute sur lidentit d une ressource)

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Identifier les valeurs d une organisation et exprimer leur besoins en termes de
critre de scurit permet de fixer la mesure de scurit mettre en uvre au
travers :
- doutils (firewalls, antivirus, protocoles cryptographiques, )
- de procdures (mots de passe , mises jour d antivirus, mises jour d un
systme dexploitation, );
- de personnes (utilisateurs, administrateurs,)
Les mesures de scurit sont identifies, gres et optimises par des procdures
de gestion. Au del de la ncessaire dimension d ingnierie de la scurit, la
scurit relve avant tout dun acte de management.
Note : rduire seulement la scurit sa dimension technologique, cest assurer
son chec!

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

2) Mission de scurit
Entamer une mission se scurit peuvent se dcliner de la manire suivante :
- concevoir un plan d action de scurit aprs une analyse pralable des risques;
- identifier une politique de scurit;
- faire un arbitrage entre les besoins de scurit, risques et cots;
- dterminer le primtre de vulnrabilit li l usage des nouvelles technologies;
- offrir de manire dynamique un niveau de protection adapt aux risques
encourus;
- mettre en pratique et valider les mesures, les outils et les procdures de scurit;
- faire un suivi, contrler et faire voluer les mesures et plan d action de scurit;
- enfin, optimiser la performance du systme d information en fonction du degr
de scurit requis.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

3) Principes de base
L laboration dune dmarche scurit repose sur des principes suivants:
- Principe de vocabulaire - ncessit de sadapter, au niveau de l organisation,
sur un langage commun de dfinition de la scurit.
- Principe de volont directoriale - les dirigeants sont responsabilit de librer
les moyens ncessaires la mise en uvre (et la gestion) de la scurit
informatique.
- Principe financier - le budget d implmenter la scurit doit tre adapt vis--
vis des objectifs de scurit fixs.
- Principe de cohrence - la scurit dun systme est le rsultat d une
intgration harmonieuse des mcanismes, outils et procdures.
- Principe de simplicit et d universalit - les mesures doivent tre
comprhensibles, simples par les utilisateurs.
- Principe de dynamicit - la scurit doit tre labore dynamiquement pour
intgrer la dimension temporelle de la vie des systmes et l volution des besoins
et des risques.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

-Principe de continuum - lorganisation doit continuer fonctionner mme
aprs la survenue d incident (procdures de gestion de crise).
- Principe d valuation, de contrle et d adaptation - Il est trs important de
pouvoir valuer durablement l adquation des mesures de scurit. Cela permet de
vrifier et de contrler que les risques sont maitriss et dadapter dans le besoin les
solutions de scurit.
4) Conditions de succs
Les conditions de succs dune approche scuritaire sont :
- une dmarche stratgique de la scurit
- la politique de la scurit doit tre publie
- un certain degr de confiance envers les personnes, systmes, outils impliqus;
- une thique des acteurs
- des procdures de surveillance, d enregistrement et daudit;
- le respect des contraintes lgales et juridique
-

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

5) Approche pragmatique
Axes stratgiques, tactiques et oprationnels de la scurit :

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

A
x
e

s
t
r
a
t
g
i
q
u
e

Axe oprationnel
Long terme Moyen terme
Politique de
scurit
court terme
Mise en uvre oprationnelle des mesures
Exploitation/Maintenance / Suivi
Identification des mesures
de scurit
Optimisation
Optimisation
6) Bnfices
La scurit est numrer comme un facteur critique de succs d une
organisation et non pas comme une source de cot (charge) ni un frein la
ralisation de la stratgie de lentreprise.
La scurit nest pas une contrainte additionnelle intgrer dans la stratgie des
entreprises mais constitue un outil de production (faisant partie des lments
fondamentaux de la stratgie de lentreprise).
Comme la qualit, la scurit est considre pour une entreprise, un facteur de
comptitivit assurant une meilleur rentabilit.
Considrant la scurit comme un facteur de qualit, elle pose le problme de sa
mesure et donc de la dtermination des indicateurs et mtriques associs.
Note : la scurit ne permet pas directement de gagner de l argent mais vite den
perdre.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

7) Aspects conomique
Les cots suivant contribue estimer de manire approximative le retour sur
investissement de la scurit:
- Perte ou baisses de productivit conscutives aux problmes de
dysfonctionnements et lindisponibilit, perte de parts de march , pnalits de
retard, etc.
- Cot gnr par des pertes dimage, impacts au niveau des clients, partenaires,
sous-traitants, fournisseurs, etc.
- Cots dassurance, de gestion, d investigation, salaires des experts, etc.
- Cots de reprise aprs incidents, de la gestion de crise, de restitution, de
reconstitution des donnes, de remise en tat, de remplacement des systmes, etc.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

3. Dfinir une stratgie de scurit
1) Stratgie gnrale
La diversit des solutions peuvent crer un problme de cohrence globale de la
dmarche de scurit.
Exemple 1 : La technologie ne suffit pas mais elle doit tre intgr dans une
dmarche de gestion de scurit.
Exemple 2 : La scurit d un systme particulier nest que une composante de la
scurit globale d une entreprise.
Beaucoup de stratgies de scurit existent, de politiques de scurit, de mesures,
de procdures ou de solutions de scurit que dorganisations et de besoins
scuritaires satisfaire un moment donn.
Politique de scurit et risques font lobjet d une actualisation et d une valuation
permanentes.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

De la stratgie d entreprise la stratgie scuritaire:

ICT (Information and Communication Technologies) : Technologies de l'information et de la communication.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Stratgie
dentreprise
Stratgie de
scurit
Politique de scurit Mesures de scurit
Scurit informatique :
Technologiques
Procdures
Organisationnelles
Juridiques
Humaine
Services ICT de qualit
rpondant la stratgie de lentreprise
2) Compromis et bon sens
La scurit : une question de compromis

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Politique de scurit
Besoin de protection

Besoin de production
Maitrise
des
risques
Rduire les risques
un niveau acceptable

Minimiser les pertes

Permettre un usage
efficace des
technologies

Risques
Cot du risque
Cot de la
matrise des
risques
La scurit : une question de bon sens
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Une question
de bon sens
Trop de scurit
est aussi
problmatique que
pas assez
Une politique de
scurit ne doit pas tre
conue partir de
limitations particulires
de certains systmes
Le plus dur nest pas de dcider
quelle est la technologie de
scurit appliquer mais d
identifier pourquoi on doit
lappliquer et sur quoi
La scurit nest
jamais acquise
dfinitivement, elle
se vit au quotidien
La scurit doit tre
fonction des risques
et proportionnelle
aux enjeux
Plus grande est la
rcompense, plus grand est
le risque de pntration d un
systme
La qualit des outils
de scurit dpend de
la politique de scurit
quils servent
La scurit est
l affaire de
tous
3) Responsabilit
Les responsable de la scurit des systmes dinformation sont des prestataires
de services pour la partie de la scurit qui ils grent et contrlent.
Leur accs aux ressources informatiques implique en plus dune intgrit sans
faille, des procdures de surveillance et de contrle de leurs actions
particulirement strictes, la mesure des risques quils font potentiellement courir
aux systmes quils grent.
L augmentation des affaires criminelles ayant une origine interne, impliquant la
complicit dinformaticiens, doit obliger les organisation traiter la question de
responsabilit avec vigilance et ne pas se laisser piger par des personnes peu
scrupuleuses.
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

3) Nouveaux risques, nouveaux mtiers
Mtiers concernant la scurit :
- Chief Security Officer (CSO) - Il sagit de la personne responsable de toute la
scurit de lorganisation.
- Chief Information Securitty Officer (CISO) - La personne assumant la
responsabilit de la scurit des informations au sein dune organisation.
Diverses fonctions ou missions spcifique existent comme par exemple:
- Responsable de la scurit des systmes dinformation;
- Responsable de la scurit des rseaux;
- Responsable de la scurit des systmes;
- Responsable de la veille technologique en matire de scurit;
- Auditeur de la scurit;
- Architecte de la scurit
-
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

4. Prise en compte des besoins juridiques
1) Scurit et rpression du crime informatique
Actuellement, la cybercriminalit est mal maitrise comme le prouvent les
chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques
du CERT (Computer Emergency Readiness Team).
Les motifs de tel situation sont notamment lies:
- Aux caractristiques du cybercrime (capacit tre automatis, savoir-faire
embarqu dans le logiciel , ralisation distance);
- la pnurie de ressources humaines et matrielles au sein des services chargs de
la rpression des dlits informatiques;
- la difficult qualifier les faits au regard de certaines lgislations pnales;
-
Note: CSI (www.gocsi.com)
CERT(www.us-cert.gov)

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

2) Infraction, responsabilit et obligations de moyens
Crimes et dlits contres les personnes:
Atteintes la personnalit - atteinte la vie prive - atteinte la reprsentation
dune personne-atteinte au secret professionnel - atteinte aux mineurs-
harclement
Crimes et dlit contre les biens:
Escroquerie - fraude - crime conomique et financier - vol - modification,
destruction de ressources - chantage - piratage des systmes
Provocation aux crimes et dlits:
Apologie des crimes contre lhumanit apologie et provocation au terrorisme
provocation la haine raciale ngationnisme
Infraction diverse rglementation (code civil, code des obligations, code pnal, code de la proprit
intellectuelle, droit de l audiovisuel, des contrats,):
Contrefaon dune uvre de lesprit (logiciel), dune image, dessin - contrefaon de
marque - tlchargement illgale - participation la tenue dune maison de jeux au
hasard (cybercasino) - infraction de presse

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

3) Prendre en compte la scurit en regard de la lgislation
Il est trs important que les responsable de scurit des organisations soient
sensibilises aux contraintes dune enqute policire (documentation minimale
relative lincident, conservation des traces, etc.).
Lorganisation doit tre prudente au respect de la protection des donnes
caractre personnel de ses employs comme celles des ses clients, fournisseurs
ou partenaires.
Dans la majorit des pays, la lgislation recommande que la mise en uvre de la
cybersurveillance soit pralablement accompagne dune charte dutilisation de
linformatique et des tlcommunications.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

4) La confiance passe par le droit, la conformit et la scurit
Lintelligence est devenu un facteur cl de succs de la ralisation de la scurit
informatique.
Exemple : la responsabilit pnale des acteurs (comme le responsable scurit ou
du directeur de systmes dinformation) est de plus en plus invoque si les
ressources informatiques qu ils grent, sont lobjet ou le moyen dune dlit.
Les responsables d organisations doivent tre extrmement attentif l gard du
droit de nouvelles technologies et leur systme informatique doit tre en
conformit juridique.
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

5) Rglementation international
La premire rglementation internationale (et la seule), contribuant donner la
dimension internationale de la cybercriminalit est la convention sur la
cybercriminalit-Budapest 23 novembre 2001.
Exemple de point abord : les tats doivent tablir leur comptences l gard de
toute infraction pnale lorsque cette dernire est commise sur son territoire.
Il y a aussi des lignes directives de lOCDE (Organisation de Coopration et de
Dveloppement Economique). Voila deux exemples de points voqus:
C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t


Dmocratie
La scurit des systmes et des rseaux dinformation
doit tre compatible avec les valeurs
fondamentales dune socit dmocratique.
Conception et mise en
uvre de la scurit
Les parties prenantes doivent intgrer la scurit en
tant quun lment essentiel des systmes et rseaux
dinformation.
5. Scurit et socit de l information
1) Pour une socit de linformation sre
L tat a des responsabilits importantes pour la ralisation dune scurit
numrique:
- Il doit dfinir les lois;
- Il doit favoriser et encourager la recherche et le dveloppement en matire de
scurit;
- Il doit promouvoir une culture de la scurit et du respect de lintimit
numrique;
- Il doit imposer le respect dun minimum de normes de scurit.
2) Respect des valeurs dmocratiques
Replacer l tre humain et les principes dmocratiques dans les technologies de
linformation (et dans les solutions de scurit) est ncessaire pour donner les
moyens aux internautes de devenir des cybercitoyens avertis, et non pas des
consommateurs vulnrables et dpendants.

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t


Exercice 21 : Que recouvre la notion de stratgie de scurit?
Exercice 22 : Pourquoi la scurit doit-elle gre selon un processus continu?
Exercice 23 : Dans quelles mesures la scurit informatiques est - elle rsultante
dun compromis?
Exercice 24 : Dans quelle mesure la conformit rglementaire se dcline-t-elle
comme un besoin de scurit?
Exercice 25 : Pourquoi la comprhension du risque juridique par des responsables
de la scurit informatique est importante?

C
h
a
p
i
t
r
e

4

:

S
t
r
a
t
g
i
e

d
e

s
c
u
r
i
t

Plan

Gouverner la scurit
Gestion du risque informationnel
Politique de scurit
Mthodes et normes de scurit
TP3 : Utiliser le logiciel Wireshark pour :
- Dcouvrir les caractristiques gnrales et l'encapsulation des protocoles du
modle TCP/IP;
- Analyser le trafic rseau.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

1. Gouverner la scurit
1) Mise en perspective
Gouverner la scurit illustre la volont de diriger, dinfluencer, de conduire de
manire dterminante la scurit et de matriser les risques lis linscurit
technologique.
La gouvernance a pour but d assurer que les solutions de scurit sont optimales.
entre autres, elle vrifie quelle est en mesure de rpondre de manire exacte aux
questions: Qui fait quoi? Comment et quand?
2) Gouvernance de la scurit de linformation
Gouverner la scurit peut tre peru comme un processus pour tablir et
maintenir un cadre supportant la structure de gestion qui permet de raliser la
stratgie de scurit.
Gouverner la scurit cest protger les actifs informationnels contre le risque
de perte, d interruption, dabus, de divulgation non autorise, ou de risques
juridiques lis la responsabilit lgale des acteurs.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

3) Principes de base de la gouvernance de la scurit
Principes dune mthode de gouvernance pour la mise en place dune politique de
scurit.
Responsabilit - Une instance assurant la gouvernance doit tre responsable de la
tche qui lui appartient.
Proportionnalit - Les investissements doivent tre en proportionnels au risque
informationnel encouru par l organisme .
Conscience - Les entits directrices sont conscientes du limportance des actifs
informationnels de lentreprise et ainsi du rle de la scurit.
Conformit La dmarche de la scurit doit tre conues en conformit avec les
exigences lgale de tous niveaux.
Efficacit - Les actions entamer doivent satisfaire les objectifs
Ethique L exploitation des ressources informationnelles au sein de lentreprise
doit tre thiquement correcte
Inclusion Les objectifs de toutes les parties intresses par la dmarche doivent
tre prises en considration.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Equit Les entits directrices laborant les solutions scuritaires bases sur la
perception et les rgles dmocratiques perues comme telles dans lenvironnement
o lentreprise agit.
Transparence Le devoir d informer les parties intresses sur l tat courant de
la scurit appartient aux entits directrices.
Mesure Les mesures de scurit ont pour finalit l amlioration de la
gouvernance.
Objectif La scurit informationnelle a un large champ d intervenants
(processus, ressources, acteurs, culture de lentreprise).
Rponse Des tests continus lis aux rponses apportes en situation de crises
doivent effectus rgulirement.
Gestion du risque Les entits directrices sassurent que le processus d
apprciation des risques se fait dune manire continue et formelle.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

2. Gestion du risque informationnel
1) dfinitions
Un risque est la combinaison de la probabilit d un vnement et de ses impacts.
Un risque exprime la probabilit quun valeur soit perdue en fonction dune
vulnrabilits lie une menace :

La terminologie lie au risque distingue lanalyse, l valuation, l apprciation, le
traitement et la gestion du risque :
- Analyse du risque : Exploitation systmatique d information pour fixer les
sources afin de pourvoir estimer le risque.
- Evaluation du risque cest le processus de comparaison du risque estim avec
des critres de risque donns pour identifier l importance du risque.
- Apprciation du risque Processus danalyse et d valuation du risque.
- Traitement du risque Processus de slection et implmentation des mesures
visant modifier le risque.
- Gestion du risque activits coordonnes visant conduire et piloter une
organisation vis--vis des risques.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

risque vulnrabilit menace impact
2. Gestion du risque informationnel
2) Principes de gestion
Les lments d une dmarche de gestion du risque informationnel sont :
- Identification des actifs en correspondance avec les critres de scurit.
- Apprciation de vulnrabilits en relation avec les actifs protger.
- Apprciation des menaces (identification de lorigine(motivation, capacit se
raliser) et amplificateurs des menaces).
- Apprciation du risque (illustration par une matrice des probabilits et des
impacts).
- Identification des contre-mesures (qui tiennent compte de trois types
dacteurs que sont les processus, la technologie et les utilisateurs).

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

3. Politique de scurit
1) Stratgie et politique de scurit

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Stratgie d entreprise
Stratgie du systme
d information
Stratgie de scurit
Politique
de scurit
Politique du systme
d information
Politique d entreprise
La politique de scurit fait la liaison entre la stratgie de scurit d une
entreprise et l implmentation oprationnelle de la scurit.
La politique de scurit tablit les principes fondamentaux de la scurit qui
permettent de protger le systme dinformation. Cette protection est assure
par exemple par :
- des rgels : classification des linformation;
- des outils : chiffrement, firewalls;
- des contrats: clauses et obligations;
- lenregistrement, la preuve, lauthentifications, lidentification, le marquage ou le
tatouage;
- Le dpt de marques , de brevets, et la protection des droit de l auteur.
En complment, la protection pourra prvoir :
- de dissuader par des rgles et des contrles;
- de ragir par lexistence de plans de secours, de continuit et de reprise;
- de grer les incidents majeurs par un plan de gestion de crise;
- de grer les performance et les attentes des utilisateurs; etc.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

2) Projet d entreprise orient gestion des risques
prendre en compte lanalyse des risques lis au systmes dinformation dans un
processus de gestion de risque globaux, guide toute la dmarche de scurit dune
organisation.
Le risque informatique, informationnel ou technologique doit tre dfini au
mme titre que tous les autres risques de lentreprise (risque mtier, social,
environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque
informatique est un risque oprationnel qui doit tre maitris.
La gestion des risques est le point de dpart de lanalyse des besoins scuritaires
qui permet la dfinition de la stratgie de scurit.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

De lanalyse des risques la politique de scurit
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t


Identification du
risque
origine
Cause
Potentialit
Impacts, effets,
consquences,
gravit
Risques subis
Risques encourus
Risques de perte
Identification des risques
Quantification des risques

Risques acceptables?

Analyse Evaluation Apprciation
Traitement Gestion des risques
Scurit
des
valeurs
Politique
de
scurit
Risques choisis, calculs, mesurs, accepts
Risques pris
Risques profitables, risques de russir
3) Proprits d une politique de scurit
Dterminants d une politique de scurit

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Vision stratgique de la maitrise des risques
Politique de scurit
Que protger? Pourquoi? Contre qui? Comment?
Valeurs Risques Contraintes
Rfrentiel de scurit Rgles de scurit Mesures de scurit
Structure organisationnelle Droits et devoirs
Plan de contrle et de suivi Planification Prioritisation des actions
Diffrentes composantes d une politique de scurit
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Politique de scurit
Politique de
contrle d
accs
Gestion des identits, des
profils utilisateurs, des
permission, des droits, etc.
M
e
s
u
r
e
s

e
t

p
r
o
c
d
u
r
e
s

c
o
n
v
i
v
i
a
l
i
t

R
e
s
p
e
c
t

d
e
s

c
o
n
t
r
a
i
n
t
e
s

l
g
a
l
e
s

r
g
l
e
m
e
n
t
a
i
r
e
s

Politique de
protection
Prvention des intrusions et
malveillances,
Gestion des vulnrabilits,
dissuasion, etc.
c
o
t

Politique de
raction
Gestion des crises, des
sinistres, des plans, de
continuit, de reprise, de
modification, dintervention,
de poursuite, etc.
p
e
r
f
o
r
m
a
n
c
e

Politique de
suivi
Audit, valuation,
optimisation, contrle,
surveillance, etc.
Politique
dassurance
Politique de sensibilisation
4. Mthodes et normes de scurit
1) Principales mthodes franaise
Pour laborer une dmarche de scurit, on sappuie sur une mthode qui facilite
lidentification des points principaux scuriser. En gnral la scurit repose sur
un ensemble reconnu de bonnes pratiques que sur une mthodologie unique.
Les mthode recommandes par le CLUSIF (CLUb de la Scurit de l'Information
Franais, www.clusif.asso.fr) sont Marion (Mthode dAnalyse des Risques
Informatiques et Optimisation par Niveau) et Mhari (Mthode Harmonise
dAnalyse des RIsques).
La mthode Mhari est volutive et compatible avec la norme ISO 17799.
La DCSSI (Direction Centrale de las Scurit des Systmes d Information) a
labor une mthode largement document, prsente et tlchargeable sur son
site: www.ssi.gouv.fr/fr/dcssi. Dnomme Ebios ( Expression des Besoins et
Identification des Objectifs de Scurit), cette mthode est implmente par les
administrations franaises, permet de fixer les objectifs de la scurit des
organisation, pour rpondre des besoins dtermins.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Les diffrentes mthodes prconises par le CLUSIF

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Mthode
Marion

Mthode
MEHARI

Mthode Marion : Mthode danalyse des risques informatiques
optimisation par niveau
Mhari : Mthode harmonises d analyse des risques
Propose un cadre et une mthode qui garantissent la cohrence des
dcisions prises au niveau directorial
Structure la scurit de lentreprise sur une base unique d apprciation
dans la complexit des systmes dinformation
Permet la recherche des solutions au niveau oprationnel de la scurit en
dlgant les dcisions aux units oprationnelles et autonomes
Assure, au sein de lentreprise, l quilibre des moyens et la cohrence des
contrles
Les applications de Mhari:
Plan stratgique de scurit - Plan(s) oprationnelle(s) de scurit
Traitement dune famille de scenario - Traitement dun risque spcifique
Traitement dun critre de scurit Traitement dun scenario particulier
Traitement d une application oprationnelle Traitement d un projet
2) Norme internationale ISO/IEC 17799
Origine
Lorigine de la norme IOS 17799 labore par l ISO (www.iso.org) la fin de
lanne 2000 est la norme BS 7799 labore par lassociation de normalisation
britannique en 1995.
Ladoption par le march de la norme ISO t encourag par le fait que certaines
compagnies d assurance demandent l application de cette norme afin de
couvrir le cyber-risques.
Son importance rside dans le fait que la norme aborde les aspects
organisationnels, humains, juridiques et technologues de la scurit en rapport
avec les diffrentes tapes de conception, mise en uvre et maintien de la scurit.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Elle aborde de dix domaines de scurit, de 36 objectifs de scurit et de 127
points de contrle.
Les dix domaines abords par la norme:
Politique de scurit - Organisation de la scurit
Classification et contrle des actifs - Scurit et gestion des ressources humaines;
Scurit physique et environnementale
Exploitation de gestion des systmes et des rseaux - Contrle d accs;
Dveloppement et maintenance des systmes - Continuit de service conformit
Une nouvelle version amliore de la norme (ISO/IEC 17799/2005) a t
propose en juillet 2005, elle adjoint aux dix domaine de scurit de nouveaux
paragraphes qui concernent l valuation et l analyses des risques, la gestion des
valeurs et des biens ainsi que la gestion des incidents.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Objectifs de la norme ISO/IEC 17799:2005
La norme ISO/IEC 17799:2005 et ces versions antrieurs aident les organisation
rpondre quatre principales questions concernant la protection de leurs
actifs informationnels, savoir :
Que protger et pourquoi?
De quoi les protger?
Quels sont les risques?
Comment les protger?
En rpondant cette question, lorganisation dfinit sa mthode scuritaires. La
premire tape de celle-ci consiste raliser l inventaire des valeurs protger
en distinguent leur degr de criticit afin d effectuer des priorits la ralisation
des solutions de la scurit.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Structure, thmes et chapitres de la norme ISO/IEC 17799:2005
La norme comporte 11 chapitres dont les objectifs sont illustrs dans le figure.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Politique de scurit
Gestion des biens
Scurit lie
aux ressources
humaines
Scurit
physique et
environneme
ntale

Gestion
oprationnelle et
gestion de la
communication

Contrle
d accs

Acquisition
dveloppement,
et maintenance
des SI

Gestion d
incident lis
la scurit d
information

Gestion de la continuit de lactivit
Gestion de la scurit de l information
C
o
n
f
o
r
m
i
t

La structure et les thmes voqus dans la version 2005 de la norme 17799 sont les
suivants:
- Introduction
- Evaluation des risques et traitements
- Politique de scurit
- Organisation de la scurit de l information
- Gestion des biens et des valeurs
- Scurit des ressources humaines
- Scurit physique et environnementale
- Gestion des communication et des oprations
- Contrle d accs
- Acquisition, dveloppement et maintenance des systmes de l information
- Gestion des incidents de scurit de linformation
- Gestion de la continuit de l activit
- Conformit

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Exemple :
Gestion des incidents de scurit de linformation:
- Notification des vnements et des faiblesse de scurit de linformation
- Notification des vnements de scurit de l information
- Notification des faiblesse de scurit
- Gestion des incidents et des amliorations de la scurit de l information
- Responsabilit et procdure
- Enseignement tirer des incidents de scurit
- Collecte de preuves

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

3) norme internationale de la famille ISO/IEC 27000
La famille des normes 27000
La famille des normes ISO/IEC 27001:2005 aborde le thme de management
de la scurit de linformation dans sa globalit. La norme 27001 sintitule
systme de gestion de la scurit de linformation. Dautres nome de la famille
27000 traitent diffrents domaines, savoir:
- Les notions fondamentales et une formalisation du vocabulaire (27000)
- Guide pour l implmentation du Systme de Mangement de la Scurit de
lInformation (SMSI)(27003).
- Les mtriques du management de la scurit de l information (72004).
- La gestion du risque en matire de scurit de l information (27005).
- Les exigences pour les organismes auditant et certifiant un SMSI(27006)
- Directives pour les auditeurs concernant les contrles effectuer pour un SMSI
(27007);
- Directives pour les auditeurs concernant les contrles effectuer pour un
SMSI(27008)

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Introduction la norme ISO 27001
La norme 27001 drive de la norme nationale anglaise BS 7799-2 : 2002 qui a pour
but les contrles mettre en place pour satisfaire les objectifs de la premire partie
BS 7799-1.
La norme 27001 tablit un modle pour tablir, implmenter, exploiter, surveiller,
maintenir et amliorer le systme de management de la scurit de linformation
SMSI (Systme de Mangement de la Scurit de lInformation).
La norme s appuie sur un modle PDCA (plan, do, check, act). Comprendre da
scurit sous la forme PDCA contribue :
- Comprendre les exigences de scurit et besoins de la politique de scurit;
- Implmenter et effectuer des contrles pour grer le risque informationnel;
- Surveiller et revoir la performance de SMSI
- Proposer des amliorations bases sur des mesures de l efficacit du SMSI.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Le modle PDCA
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Parties
intresses

Exigences et
expectatives de
la scurit de l
information
Etablir
SMSI
Surveiller
SMSI
Implmenter et
exploiter SMSI
Maintien et
amlioration
du SMSI
Parties
intresses

La scurit de l
information
gre
PLAN
CHECK
DO
ACT
Etablir un modle de gestion de scurit satisfaisant les exigences de la norme
implique trois tapes:
- Cration dun cadre managrial afin de spcifier les directives, les intentions et
les objectifs pour la scurit de linformation et dfinir les politique stratgique qui
engage la responsabilit du management.
- Identification et valuation des risques raliss sur la base des exigences de
scurit dfinies par l entreprise pour identifier les actions managriales
appropries entreprendre et les priorits pour matriser le risque.
- Dveloppement du SMSI, choix et implmentation des contrles
implmenter. Une fois que les exigences ont t dtermines, les contrles
appropris peuvent tre slectionnes afin de sassurer que les risques que le
systme d information fait encourir l organisation sont rduit un niveau
acceptable conforment aux objectifs de la scurit de l entreprise.
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

4) Mthodes et bonnes pratiques
Avantage et inconvnients de lutilisation dune mthode pour dfinir une
politique de scurit
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t

Avantages Inconvnients
Gain en terme d efficacit en rutilisant le
savoir-faire transmis par la mthode.
Capitalisation des expriences.
Bien qu elles peuvent faire l objet de
rvision (nouvelles versions), les normes ou
mthode se n voluent pas au mme
rythme que les besoins ou les technologies.
Une norme ou une mthode est gnrale. Il
faut savoir la spcifier en fonction de
besoins particuliers de l organisation.
Langage commun, rfrentiel d actions
structuration de la dmarche, approche
exhaustive.

Prolifration des mthodes : difficult de
choix.
Disposer des comptences ncessaires.
Efforts financiers, dure, cots,
Difficults maitriser la dmarche qui peut
s avrer lourde et ncessit des
comptences externes.
Recourt des consultants spcialiss.
Etre associ des groupes d intrts. Partage
d expriences, de documentation, formation
possibles.

5) Modle formel de politique de scurit
Diffrents modles proposent une prsentation abstraite des principes de scurit
prendre en compte:
- Le modle de Bell-LaPadula : modle des exigences de contrle d accs
spcifiant une politique de scurit pour la confidentialit;
- Le modle de Clark et Wilson li l intgrit des systmes transactionnels
commerciaux
Les principales dfinitions correspondant ces modles sont:
- Objet O : Entit passive qui reoit ou possde des informations ou encore l
Objet de stockage, qui inclut les accs en lecture et en criture.
- Sujet S : Entit active (une personne, un processus ou un quipement) lie un
profil.
- Opration licite T : L opration licite T est permise pour le sujet S sur l Objet
O;
- Canal cach : exploitation d un mcanisme non prvu pour la communication
pour transfrer des informations d une manire qui viole la scurit.

C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t


Exercice 26 : Quels sont les avantages relatifs la dfinition d une politique de
scurit pour une organisation?
Exercice 27 : Quels sont les lments qui permettent de justifier la mise en place d
une politique de scurit pour le systme d information d une entreprise?
Exercice 28 : Comment sexprime la rentabilit d une politique de scurit?
Exercice 29 : Identifier les principales tapes d une dmarche scurit?
Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvnients
potentiels lis l externalisation de la scurit informatique (outsourcing) par
rapport une gestion interne de la scurit?
Exercice 31 : Quelles sont les principales limites de la norme ISO 17799 pour la
ralisation de la scurit?
C
h
a
p
i
t
r
e

5

:

G
o
u
v
e
r
n
a
n
c
e

e
t

p
o
l
i
t
i
q
u
e

d
e

s
c
u
r
i
t


Cours Securité Informatique

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours Securité Informatique

Uploaded by

Copyright:

Available Formats

Scurit informatique

You might also like