Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

mosaber@ump.ma
Anne Universitaire 2013/2014

1. Introduction 2. Scurit dun Systme dInformation 3. Les Attaques 4. Objectifs de la scurit informatique

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Avec le dveloppement de l'utilisation d'Internet, de plus en plus les entreprises ouvrent leur systme d'information leurs partenaires ou leurs fournisseurs. Il est donc essentiel de connatre les ressources de l'entreprise protger et de matriser le contrle d'accs et les droits des utilisateurs du systme d'information. La connexion des personnels au systme d'information partir de n'importe quel endroit. Ils sont amens transporter une partie du systme d'information hors de l'infrastructure scuris de l'entreprise.

Linformation stocke La pertinence et la valeur de linformation Laccs aux services externes Site web, messagerie Laccs aux services internes Intranet, Extranet, bases de donnes, La scurit des donnes Qui peut accder aux donnes ? Comment peut-on y accder ?

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Les pirates informatique

Utilisent des logiciels dattaque trouvs sur Internet Les vrais pirates qui connaissent les protocoles et les systmes

Les intrus criminels

Ils ont plus de moyens que les pirates

Terroristes industriels
Ils ont dnormes ressources

Employs ou fournisseurs
O comment la faille peut-elle venir de lintrieur ?

Le systme d'information est gnralement dfini par l'ensemble des donnes et des ressources matrielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le systme d'information reprsente un patrimoine essentiel de l'entreprise, qu'il convient de protger. Un des moyens techniques pour faire fonctionner un systme dinformation est dutiliser un Systme informatique. La Scurit dun systme dinformation, dune manire gnrale, consiste sassurer que les ressources matrielles ou logicielles dune organisation ne sont utilises que dans le cadre o il est prvu.

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

La Scurit des systmes dinformation est lensemble des moyens techniques, organisationnels, juridiques et humains ncessaires pour conserver ou rtablir la disponibilit, l'intgrit et la confidentialit des informations ou du systme. La scurit informatique c'est l'ensemble des moyens mis en uvre pour minimiser la vulnrabilit d'un systme contre des menaces accidentelles ou intentionnelles.

Les SI sont de plus en plus considrs comme les centres nvralgiques des organismes (au cur de l'activit de l'organisme). Les SI sont de plus en plus connects Internet. Toutes les attaques exploitent des faiblesses de scurit au niveau du SI et du rseau sous-jacent; Les pertes dues une attaque peuvent tre trs grandes (daprs une tude faite en lan 2010, ces pertes, rien quen termes de temps perdu, slveraient 1600 milliards de dollars, lchelle mondiale!). (NTIC)

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Il existe diffrentes motivations pour attaquer un SI, dont : Bnfices financiers (vol d'argent, vol de n de carte de crdit, espionnage industriel, nuisance l'image de marque profitant aux concurrents, ...); Satisfaction personnelle (plaisir/jeu, fiert maladive, concurrence entre Hackers, ); Vengeance (salari licenci et/ou sous estim, ...) Convictions politiques et/ou idologiques (partisans d'un parti, terroristes, ...); Espionnage d'tat.

Une attaque est une action malveillante visant tenter de contourner les mesures de scurit dun systme dinformation Une attaque est un ensemble dun ou plusieurs vnements qui peuvent avoir une ou plusieurs consquences en termes de scurit. Elle peut tre passive (contre uniquement la confidentialit) ou active (contre lintgrit, lauthentification, la nonrpudiation et/ou le contrle daccs).

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Dsinformer Empcher l'accs une ressource Prendre le contrle d'une ressource Rcuprer de l'information prsente sur le systme Utiliser le systme compromis pour rebondir

Les tats Serveurs militaires Banques Universits Tout le monde ....

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Actif ou bien: Information ou composant dun systme, qui possde une valeur ou un intrt. Il conviendra donc de le protger.

Menaces: La menace est dfinie dans la norme ISO-7498-2-89, comme une violation potentielle de la scurit (accident, erreur, malveillance). La norme ISO-7498-2-89, distingue quatre types de menace: Menace accidentelle: menace dun dommage non intentionnel envers le SI: Pannes/dysfonctionnements du matriel. Pannes/dysfonctionnements du logiciel de base. Erreurs d'exploitation (oubli de sauvegarde; crasement de fichiers). Erreurs de manipulation des informations (erreur de saisie; erreur de transmission; erreur d'utilisation). Erreurs de conception des applications. Erreurs d'implantation.

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Menaces (suite): Menace intentionnelle ou dlibre: menace de modification non autorise et dlibre de ltat du systme. Menaces passives
Dtournement des donnes (l'coute, les indiscrtions) Exemples: (espionnage industriel; espionnage commercial; violations dontologiques). Dtournement des logiciels (Exemple: copies illicites)

Menaces actives
Modifications des informations Modification des logiciels Exemples: Bombes logiques, virus, ver

Menace physique: menace qui pse sur lexistence mme et sur ltat physique du SI.

Une menace nat de la prsence dun bien ou dun actif. Cette menace, de par son existence, engendre des craintes et des inquitudes.
Engendre Bien ou actif Menace Engendre Crainte Inquitude Consquences

Causes

Faits

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Vulnrabilits: Elle peut tre due : Sont des faiblesses ou des failles du SI qui pourraient tre exploites pour obtenir un accs non autoris. Une faiblesse ou une faille dans les protocoles, la topologie, les mcanismes de scurit dun rseau, etc. Labsence dune politique de scurit (ou son inefficacit) ; Labsence de formation et de sensibilisation des utilisateurs du rseau.

Risque: Peut se dfinir comme tant la probabilit quune menace particulire puisse exploiter une vulnrabilit donne (Il est fonction de la menace et des vulnrabilits). Risque peut tre reprsent par lquation suivante :
RISQUE = MENACE * VULNERABILITES * SENSIBILITE

Que lun des facteurs soit nul et le risque nexiste pas ! Agression: attaque porte au systme, quelle soit russie ou non.

Anne Universitaire : 2013/2014

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Cette menace pourra se concrtiser en agression. Cela nest possible que sil existe des vulnrabilits dans le SI. Cette dernire va engendrer des dysfonctionnements, des dtriorations ou la divulgation de services ou de donnes.
Engendre Vulnrabilit Agression Engendre Dysfonctionnement Dtrioration Divulgation Consquences

Causes

Faits

Dgt: Pertes irrcuprables de services ou de donnes. Si le SI nest pas protg, des dgts vont apparatre. Et ceux-ci vont occasionner des pertes financires.
Engendre Absence de Protection Causes Dgt Faits Engendre Pertes Financires Consquences

Anne Universitaire : 2013/2014

10

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Anne Universitaire : 2013/2014

11

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Rseau interne

Via clients

Sur serveurs (Deni de service)

Rseaux extrieurs (Internet, Extranet) Partenaires Via rseaux Partenaires (intrusion) Sur clients (virus, trojan, bugs OS)

Anne Universitaire : 2013/2014

12

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

La scurit informatique vise gnralement cinq principaux objectifs : Confidentialit Intgrit Authentification La non-rpudiation Disponibilit

C'est la proprit qui assure que seuls les utilisateurs habilits, dans des conditions prdfinies, ont accs aux informations. Dans le domaine de l'entreprise cette garantie concerne: Le droit de proprit:
Des secrets de fabrication; Des informations stratgiques entreprise; Niveau de production, de rsultats;

Fichier clientle;
Le droit des individus: Dfini par la loi informatique et libert;

Anne Universitaire : 2013/2014

13

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

C'est la proprit qui assure qu'une information n'est modifie que dans des conditions pr dfinies (selon des contraintes prcises) Contraintes d'intgrit : l'ensemble des assertions qui dfinissent la cohrence du systme d'information. Exemples : Toute rgle de cohrence d'une base de donnes.

C'est la proprit qui assure que seules les entits autorises ont accs au systme. L'authentification protge de l'usurpation d'identit. Entits authentifier:
Une personne Un processus en excution Une machine dans un rseau

Ne pas confondre authentification avec confidentialit ou intgrit . L'authentification c'est un moyen cl de la scurit pour assurer:
La confidentialit: Celui qui lit une donne est bien celui qui est autoris le faire (pour chaque fichier); Lintgrit: Idem : il ne suffit pas d'assurer l'intgrit des donnes. Celui qui a mis un message, un virement, est bien celui dont le nom figure dans le message, le virement, ..

Anne Universitaire : 2013/2014

14

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Signature (au sens habituel) = Non rpudiation; C'est la proprit qui assure que l'auteur d'un acte ne peut ensuite dnier l'avoir effectu. La seconde ide contenue dans la notion habituelle de signature est que le signataire s'engage honorer sa signature: engagement contractuel, juridique, il ne peut plus revenir en arrire. Deux aspects spcifiques de la non rpudiation dans les transactions lectroniques:
La preuve d'origine : Un message (une transaction) ne peut tre dni par son metteur. La preuve de rception : Un rcepteur ne peut ultrieurement dnier avoir reu un ordre s'il ne lui a pas plus de l'excuter alors qu'il le devait juridiquement.

la non-rpudiation signifie la possibilit de vrifier que l'envoyeur et le destinataire sont bien les parties qui disent avoir respectivement envoy ou reu le message(certificat numrique )

Terminologie du milieu de la scurit pour caractriser le bon fonctionnement du systme informatique. En termes de la sret de fonctionnement on parle de: Disponibilit/Indisponibilit L'aptitude d'un systme informatique pouvoir tre employ un instant donn par les utilisateurs. L'indisponibilit est une composante de la scurit en ce sens qu'elle entrane des pertes financires. Fiabilit L'aptitude d'un systme informatique fonctionner correctement de manire continue pendant une priode donne.

Anne Universitaire : 2013/2014

15

Scurit des rseaux

Dr. Ing. Mohammed SABER, msaber@ensa.ump.ma

Anne Universitaire : 2013/2014

16