Un article sur les concepts lmentaires en

scurit de l'information

Daniel Miessler

Publi par :

daniel(at)dmiessler.com

Philippe Latu

philippe.latu(at)inetdoc.net
http://www.inetdoc.net
Rsum
Cet article est une traduction libre d'une page publie sur le blog de Daniel Miessler. Il prsente
les concepts de base en scurit de l'information de faon succincte et image. C'est une excellente
introduction au vocabulaire usuel de ce domaine sensible des technologies de l'information.

Table des matires

1. Meta-information .................................................................................................................................
2. Un article sur les concepts lmentaires en Scurit de l'Information ..................................................
2.1. Les 4 principes de base en scurit selon Eric Cole ..................................................................
2.2. La triade CIA (aka. CIA Triad) ..................................................................................................
2.3. La terminologie .........................................................................................................................
2.4. Rflexions personnelles .............................................................................................................
2.5. Conclusion ................................................................................................................................
3. Termes techniques et documents de rfrence ....................................................................................

1
1
1
3
3
4
5
5

1.Meta-information
Copyright et Licence
Copyright (c) 2007 Daniel Miessler
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2
or any later version published by the Free Software Foundation;
with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled "GNU
Free Documentation License".
Copyright (c) 2007 Daniel Miessler
Permission est accorde de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU
(GNU Free Documentation License), version 1.1 ou toute version
ultrieure publie par la Free Software Foundation ; sans
Sections Invariables ; sans Texte de Premire de Couverture, et
sans Texte de Quatrime de Couverture. Une copie de
la prsente Licence est incluse dans la section intitule
Licence de Documentation Libre GNU .

Outils de publication

Cet article est crit avec DocBook XML sur un systme Debian GNU/Linux . Il est disponible en version
4
imprimable au format PDF : infosecconcepts.pdf .

2.Un article sur les concepts lmentaires en Scurit de l'Information

Le domaine de la scurit de l'information est si vaste qu'il est facile de s'enfermer dans un secteur spcifique
et de perdre ainsi la perspective gnrale. Ce domaine couvre tout ; de la hauteur de la clture autour de
l'entreprise jusqu'aux mthodes et outils pour durcir un systme Windows 2003 server.
Il est important de se rappeler qu'il ne faut pas se laisser absorber par les dtails. Chaque document sur les
bonnes pratiques est li directement un concept de scurit de plus haut niveau philosophique. Ce sont
ces concepts que j'ai l'intention de prsenter ici.

2.1.Les 4 principes de base en scurit selon Eric Cole

Pour commencer, je voudrais couvrir les quatre principes de base en scurit d'Eric Cole. Ces quatre concepts
devraient constamment tre l'esprit de tous les professionnels de la scurit de l'information.
2
3
4

http://www.docbook.org
http://www.debian.org
http://www.inetdoc.net/pdf/infosecconcepts.pdf

Un article sur les concepts lmentaires en scurit de l'information

Un article sur les concepts lmentaires

en scurit de l'information
Connaissez Votre Systme
La connaissance de son systme est probablement la chose la plus importante lorsque l'on essaie de
le dfendre. Peu importe qu'il s'agisse d'un chteau ou d'un serveur Linux ; si vous ne connaissez pas
rellement les entres et les sorties de ce que vous dfendez, vous avez peu de chances de succs.
La connaissance exacte des logiciels excuts sur vos systmes est un bon exemple dans le monde de
la scurit de l'information. Quels sont les dmons actifs ? Quel genre d'exposition engendrent-ils ?
Un bon auto-test pour quelqu'un travaillant dans un environnement de taille moyenne serait de choisir
alatoirement une adresse IP dans la liste des systmes et de voir si il connat la liste exacte des ports
qui sont ouverts sur les machines.
Un bon administrateur systme devrait tre capable de dire, par exemple, c'est un serveur Web, donc
il fonctionne seulement avec les ports 80, 443 et 22 pour l'administration distance ; voil. ; et ainsi
de suite pour chaque type de serveur dans l'environnement. Il ne devrait pas y avoir de surprises en
examinant les rsultats des scans de ports.
Ce que l'on ne veut pas entendre dans ce genre de test c'est : Waouh, qu'est-ce que c'est que ce port ?.
Avoir se poser la question est un signe que l'administrateur n'est pas entirement au courant de tout
ce qui fonctionne sur la machine en question et c'est prcisment la situation que l'on doit viter.
Moindre privilge
Le concept suivant super important est celui du moindre privilge. Il indique simplement que les
utilisateurs et les lments du systme d'information devraient pouvoir accder seulement ce dont ils
ont besoin pour effectuer leurs tches, et rien d'autre. La raison pour laquelle j'inclus les lments
c'est que les administrateurs configurent souvent des tches automatises qui ont besoin de pouvoir
faire certaines choses : des sauvegardes par exemple. Et bien, ce qui se produit souvent c'est que les
administrateurs se contentent de placer l'utilisateur qui effectue les oprations de sauvegarde dans le
groupe d'administration du domaine ; mme si ils pourraient faire fonctionner le service d'une autre
manire. Pourquoi ? Parce que c'est plus facile.
Finalement c'est un principe conu pour entrer directement en conflit avec la nature humaine, c'est--dire
la paresse. Il est toujours plus difficile de donner un accs granulaire qui permet seulement d'effectuer
des tches spcifiques que de donner accs un chelon plus lev qui inclut les besoins satisfaire.
Cette rgle du moindre privilge nous rappelle simplement de ne pas cder la tentation et d'agir de
cette faon. Il ne faut jamais cder et prendre le temps de rendre tout accs granulaire, au niveau le
plus bas possible.
Dfense en profondeur
La dfense en profondeur est peut-tre le concept le moins bien compris des quatre. Beaucoup pensent
qu'il s'agit d'empiler trois pare-feux au lieu d'un, ou d'employer deux programmes d'antivirus plutt qu'un.
Techniquement c'est ralisable, mais a ne correspond pas la vraie nature de la dfense en profondeur.
La vritable ide est d'empiler des couches de protection multiples entre un attaquant et des biens. Et
ces couches n'ont pas besoin d'tre des produits ; elles peuvent tre l'application d'autres concepts, tel
que le moindre privilge.
Prenons l'exemple d'un attaquant sur l'Internet qui essaie de compromettre un serveur web dans la DMZ.
Ce pourrait tre relativement facile en prsence d'une vulnrabilit importante dans le systme. Mais,
avec une infrastructure construite en utilisant la dfense en profondeur, a peut tre beaucoup plus
difficile.
Qu'il s'agisse du durcissement des routeurs et des pare-feux, de l'introduction d'IPS/IDS, du durcissement
du serveur cible, de la prsence d'un IPS hte sur le serveur, de l'antivirus sur le serveur, etc. ; une seule
de ces tapes peut suffire empcher le succs complet d'une attaque.
L'ide, c'est que nous devrions penser l'envers ; plutt que de penser ce qui doit tre mis en place
pour arrter une attaque, il faut justement penser tout ce qui doit se passer pour qu'elle soit russie.
Il faut donc envisager qu'une attaque doive passer par le routeur externe, le pare-feu, le commutateur,
accder au serveur, excuter ceci, tablir une connexion sortante vers un hte extrieur, tlcharger du
contenu, excuter cela, etc., etc.
Et si l'une de ces tapes chouait ? C'est la clef la dfense en profondeur ; placer des barrires sur
autant de points que possible. Verrouiller les listes de contrle d'accs (ACLs) du rseau. Verrouiller
les accs aux fichiers. Utiliser la prvention d'intrusion rseau, utiliser la dtection d'intrusion, rendre
l'excution de code hostile plus difficile sur les systmes, s'assurer que les dmons sont excuts avec
les moindres privilges utilisateur, etc., etc.
Le bnfice de cette dmarche est simple comprendre : vous avez plus de chances d'empcher qu'une
attaque soit couronne de succs. Il est possible que quelqu'un parvienne passer, accder la machine
en question, et soit arrt par le fait que le code malveillant en question ne soit pas excutable sur le
serveur. Et mme si ce code malveillant a est corrig de sorte qu'il fonctionne, il sera alors bloqu par
un IPS mis jour ou un contrle d'accs (ACL) plus restrictif sur un pare-feu. L'ide est de verrouiller
tout ce que l'on peut chaque niveau. Pas simplement un lment, l'ensemble : les permissions sur les
systmes de fichiers, les protections d'accs sur les piles mmoire des systmes, les ACLs, l'IPS hte, la
limitation des accs d'administration, l'excution avec des droits limits. La liste continue indfiniment.
Le concept fondamental est simple : ne pas compter sur des solutions uniques pour dfendre les biens
protger. Traiter chaque lment de dfense comme si c'tait la seule couche disponible. Lorsque l'on
adopte cette approche on est plus mme de bloquer les attaques avant qu'elles n'atteignent leur but.

Un article sur les concepts lmentaires en scurit de l'information

Un article sur les concepts lmentaires

en scurit de l'information
La prvention est idale, mais la dtection est une obligation
Le concept final est plutt simple noncer mais extrmement important. L'ide est que mme s'il vaut
mieux qu'une attaque soit stoppe avant qu'elle ait atteint son but, il est absolument crucial de savoir
au moins ce qui s'est produit. titre d'exemple, ont peut avoir des protections en place qui essaient
d'empcher l'excution de code malveillant sur le systme, mais si un code de ce type est excut et que
quelque chose est fait, il est indispensable d'tre alert et de pouvoir ragir rapidement.
La diffrence entre apprendre qu'une attaque est russie dans un dlai de 5 ou 10 minutes et le dcouvrir
des semaines est plus tard est astronomique. Souvent, avoir connaissance assez tt d'une attaque peut
entraner son chec. Mme si des attaquants obtiennent un accs sur la machine et ajoutent un compte
utilisateur, il doit tre possible de placer rapidement cette machine hors-ligne avant qu'ils ne puissent
faire n'importe quoi avec.
Quel que soit le contexte, la dtection est un devoir absolu parce que les dmarches prventives n'ont
aucune garantie de succs 100%.

2.2.La triade CIA (aka. CIA Triad)

La triade de CIA est un acronyme trs important dans le domaine de la scurit de l'information. Il
correspond : confidentialit (Confidentiality), intgrit (Integrity) et disponibilit (Availability). Ce sont les
trois lments que tout professionnel essaie de protger. Examinons les brivement.
Confidentialit, Confidentiality
La protection de la confidentialit consiste prserver des informations secrtes. Ces informations
peuvent aller de la proprit intellectuelle d'une socit la collection photo personnelle d'un utilisateur.
Tout ce qui attaque la capacit de chacun prserver ce qu'il veut garder secret est une attaque contre
la confidentialit.
Intgrit, Integrity
L'intgrit consiste s'assurer que les informations n'ont pas t modifies relativement leur forme
authentique. Les attaques contre l'intgrit sont celles qui essaient de modifier une information en vue
d'une utilisation ultrieure. Des modifications de prix dans une base de donnes commerciale ou la
modification du niveau de paie de quelqu'un sur une feuille de calcul de tableur sont des exemples de
ce type d'attaque.
Disponibilit, Availability
La disponibilit est un lment tout fait critique du puzzle CIA. Comme on peut s'y attendre, les attaques
contre la disponibilit sont celles qui font que la victime ne peut plus accder une ressource particulire.
L'exemple le plus clbre de ce type d'attaque est le dni de service (Denial of Service ou DoS). Le
principe, c'est qu'avec ce type d'attaque rien n'est vol ni modifi. L'attaquant vous empche d'accder
tous les services viss. Les ressources attaques peuvent tre un serveur isol ou bien mme un rseau
entier dans le cas des attaques bases sur la bande passante (Distributed Denial of Service ou DDoS).
Il est assez pratique de classer selon les termes de la triade CIA les attaques contre la scurit de l'information
et les dfenses correspondantes. Considrons quelques techniques communes employes par les attaquants :
la capture de trafic (sniffing), le reformatage de disques durs et les modifications sur un systme de fichiers.
La capture de trafic est une attaque sur la confidentialit parce qu'elle permet d'analyser des informations
qui ne sont pas censes tre visibles. Un attaquant qui reformate le disque dur d'une victime a attaqu la
disponibilit de son systme. Enfin, quelqu'un qui a dit et modifi le systme de fichiers a compromis
l'intgrit de ce systme. Penser en ces termes peut nous aider progresser et comprendre les diverses
techniques offensives et dfensives.

2.3.La terminologie
Maintenant je voudrais revoir quelques termes techniques extrmement importants. Les explications peuvent
devenir un peu acadmiques mais je vais faire de mon mieux pour aller l'essentiel.
Vulnrabilit, Vulnerability
Une vulnrabilit est une faiblesse dans un systme. C'est assez simple comprendre parce que l'on
emploie gnralement ce terme exact dans les avis (advisories) et mme dans les mdias. Comme
exemple, on trouve l'avis LSASS CVE-2004-0894 qui permet un attaquant de prendre le contrle des
systmes distance. Quand on applique un correctif (patch) un systme, on le fait pour supprimer une
vulnrabilit.
Menace, Threat
Une menace est un vnement, naturel ou artificiel, qui peut endommager un systme. Les types de
menaces comprennent les gens qui essaient de pntrer dans un rseau pour voler des informations,
les feux, les tornades, les inondations, l'ingnierie sociale, les salaris malveillants, etc. Tout ce qui peut
endommager les systmes est essentiellement une menace pour ces systmes. Souvenons nous aussi
qu'une menace est habituellement value comme une probabilit, ou une chance, que cet vnement
puisse survenir. Comme exemple, on pourrait prendre la menace d'utilisation de code malveillant contre
une vulnrabilit particulire. S'il n'existe aucun code malveillant connu dans la nature le niveau de cette
menace est assez bas. Mais si un nouveau code malveillant apparat en force dans les listes de diffusion
majeures, le niveau de la menace augmente significativement.

Un article sur les concepts lmentaires en scurit de l'information

Un article sur les concepts lmentaires

en scurit de l'information
Risque, Risk
Le risque est peut-tre la plus importante de toutes ces dfinitions puisque la mission principale des
responsables de la scurit de l'information est de grer ce risque. L'explication la plus simple que j'ai
entendue est que le risque est la chance de quelque chose de mauvais arrive. C'est un peu trop simpliste
et je pense que la meilleure faon d'expliquer ce terme est d'utiliser deux ou trois formules :
Risk = Threat x Vulnerability
La multiplication est utilise ici pour une raison trs spcifique. Ds que l'un des deux termes vaut zro,
le rsultat devient nul. Autrement dit, il n'y a aucun risque s'il n'y a pas de menace ou de vulnrabilit.
titre d'exemple, si notre serveur Linux est totalement vulnrable selon la publication de l'avis CVEXYZ mais qu'il n'existe aucun moyen d'exploiter la vulnrabilit, alors le risque devient nul. De mme, s'il
existe quantit de faons d'exploiter une vulnrabilit et que nous avons dj appliqu le correctif (nous
ne sommes donc plus vulnrable), nous n'encourrons de nouveau aucun risque.
Une formule plus labore inclut l'impact, ou le cot, l'quation (littralement) :
Risk = Threat x Vulnerability x Cost
Ce facteur permet un dcideur d'affecter une valeur quantitative au problme. Ce n'est pas toujours
une science exacte, mais si nous savons qu'un vol de proprit intellectuelle vitale pour votre socit
nous coterait 4 milliards de $, alors c'est une bonne information considrer pour traiter le risque.
Cette dernire partie est importante. L'objectif global de l'affectation d'une valeur au risque est que les
responsables puissent prendre les dcisions sur ce qui doit tre trait ou pas. S'il existe un risque associ
l'hbergement de certaines donnes sur un serveur FTP public, mais que ce risque n'est pas assez
srieux pour dpasser les bnfices attendus, alors c'est une bonne affaire de continuer hberger ces
donnes.
C'est tout l'enjeu. Les responsables chargs de la scurit de l'information doivent en savoir assez sur
les menaces et les vulnrabilits pour tre capables de prendre des dcisions pertinentes sur la faon
de dvelopper l'infrastructure informatique. La gestion des risques justifie pleinement le travail sur la
scurit de l'information.
Politique, Policy
Une politique de scurit est une prise de position affirme de la direction tablissant ce qui est permis
dans l'entreprise et ce qui ne l'est pas. Une politique de scurit dira, par exemple, que vous pouvez lire
votre courrier lectronique personnel au travail mais que vous ne pouvez pas consulter votre banque
en ligne, etc. Une politique devrait tre assez large pour englober l'entreprise entire et devrait avoir
l'aval de ses instances.

2.4.Rflexions personnelles
Dans cette section, je voudrais rassembler une srie d'ides personnelles importantes sur la scurit de
l'information. Nombre d'entre elles ne sont pas des rgles et ne sont que le reflet d'une opinion. C'est le
genre d'opinion que l'on n'apprend probablement pas en classe. Heureusement, on peut considrer qu'un
bon nombre de spcialistes du domaine est d'accord avec ces avis.
Le but de la Scurit de L'information est de faire en sorte que la mission principale de l'entreprise
soit remplie avec succs.
Un sentiment de frustration important merge lorsque les professionnels de la scurit de l'information
perdent de vue ce concept cl. La scurit de l'information n'est pas simplement l pour faire bien. Elle
doit aider l'entreprise faire son travail. Si cette mission est de gagner de l'argent, la mission principale du
groupe de scurit, son niveau le plus haut, est de faire que cette socit gagne de l'argent. Pour le dire
autrement, la raison d'tre du groupe de scurit est, en premier lieu, d'empcher que l'entreprise perde
de l'argent.
Ce n'est pas une faon trs originale de voir les choses pour ceux qui ont un peu d'exprience dans le monde
de la scurit de l'information ; mais c'est un tat d'esprit adopter pour qui veut durer dans ce domaine.
Ce phnomne devient de plus en plus important avec toutes les socits qui commencent attribuer des
primes aux professionnels qui voient la scurit comme une source d'affaires plutt que comme un exercice
purement technique.
L'infrastructure informatique actuelle facilite le piratage.
Alors que la plupart des attaquants les plus qualifis peuvent inventer (et inventent) des faons ingnieuses
d'introduire des vulnrabilits dans les systmes, la capacit ncessaire raliser ce que nous observons au
quotidien dans le monde de scurit est essentiellement base sur une architecture terriblement dfectueuse.
Qu'il s'agisse de la gestion mmoire, des langages de programmation ou de la conception d'architectures de
scurit compltes ; aucun des lments que nous utilisons aujourd'hui n'a t conu en prenant les aspects
scurit en compte. Tous ces lments ont t conus par des universitaires pour des universitaires.
Pour employer une analogie, je pense que nous construisons des gratte-ciel avec du bois comme le guano ou le
balsa. Les pirates franchissent rgulirement ces parois en bois et n'avons d'autre solution que de reboucher
les trous et prier. Pourquoi ? Parce que nous essayons de construire des difices hauts quelques dizaines de
mtres avec des matriaux beaucoup trop fragiles. Les bois comme le balsa et le guano font d'excellentes
huttes qui rsistent une tempte de pluie occasionnelle et un choc ou deux. Mais ils ne rsistent pas aux
tornades, aux tremblements de terre ou plus particulirement des hooligans avec des torches.

Un article sur les concepts lmentaires en scurit de l'information

Un article sur les concepts lmentaires

en scurit de l'information
Pour construire tout a, nous avons besoin d'acier. Aujourd'hui nous n'en avons pas. Nous continuons
construire en utilisant les mmes matriaux anciens. On retrouve les mmes problmes de gestion mmoire
qui permettent encore et encore les dbordements de tampons et les mmes problmes de langage de
programmation qui permettent d'crire du code dangereux plus facilement que du code scuris. Jusqu' ce
que nous ayons de nouveaux matriaux pour construire nous subirons toujours. Il est encore trop facile de
faire flamber le bois ou d'y percer un trou.
Ainsi, toute analogie mise part, je pense que dans la prochaine dcennie nous verrons l'apparition de
nouveaux modles d'architecture systme ; des modles avec des conditions d'utilisation et d'excution
fortement restrictives selon le paradigme ferm par dfaut. Nous devrions aussi voir apparatre de
nouveaux langages de programmation, de nouveaux environnements de dveloppement (IDE), de nouveaux
compilateurs et de nouvelles techniques de gestion mmoire. Le tout conu partir de zro pour tre sr
et robuste.
Avec toutes ces nouveauts, je pense qu' cette poque nous verrons des systmes exposs seuls sur le
rseau public pendant des annes avec peu de chance de compromission. Des attaques russies arriveront
toujours, bien sr, mais elles seront extrmement rares compar aujourd'hui. Les problmes de scurit ne
disparatront jamais, nous le savons tous, mais ils reviendront des questions de conception/configuration
humaine plutt qu' des questions de corrections de dfauts technologiques.
La scurit par l'obscurit est mauvaise, mais la scurit avec de l'obscurit ne l'est pas.
J'ai particip beaucoup de dbats en ligne au cours des annes autour du concept de Scurit par
l'Obscurit. la base, il y a une croyance populaire qui veut que si tous les aspects de notre dfense reposent
sur le secret, celle-ci est ncessairement dfectueuse. Ce n'est simplement pas le cas.
La confusion est base sur le fait que les gens ont entendu dire que la scurit par l'obscurit est mauvaise
et la plupart ne comprennent pas ce que le terme signifie en ralit. En consquence, ils font la supposition
terrible que le fait de compter sur l'obscurit, mme comme une couche supplmentaire au dessus d'un bon
niveau de scurit, est mauvais. C'est malheureux.
Ce que l'expression scurit par l'obscurit dcrit en ralit est un systme o le secret est le seul niveau de
scurit. Cette ide vient du monde de la cryptographie o des systmes de chiffrage faibles sont souvent
mis en uvre de telle faon que la scurit du systme dpend du secret de l'algorithme plutt que de la cl.
C'est mauvais et c'est la raison pour laquelle la scurit par l'obscurit est connue comme une ide viter.
Ce que beaucoup de gens ne comprennent pas c'est que l'ajout de l'obscurit un niveau de scurit
dj solide n'est pas une mauvaise chose. Le projet Portknocking est un exemple caractristique. Cet outil
intressant permet de cacher les dmons qui sont accessibles depuis l'Internet. Le logiciel analyse les
journaux d'un pare-feu et reconnat des squences de connexion spcifiques qui proviennent de clients de
confiance. Quand l'outil reconnat la squence (knock) sur le pare-feu, il ouvre le port. La cl c'est qu'il ne
vous ouvre pas juste un shell ; ce qui reviendrait de la scurit par l'obscurit. Tout ce qu'il fait ce niveau,
c'est d'ouvrir une invite de connexion SSH habituelle comme si l'tape prcdente n'avait pas eu lieu. C'est
donc une couche supplmentaire, et non la seule couche de scurit.
La scurit est un processus plutt qu'une finalit.
C'est assez commun mais a mrite d'tre rpt. Nous n'arriverons jamais atteindre l'objectif. Il n'y a rien
faire. C'est un objectif que nous cherchons atteindre et pour lequel nous luttons. Plus tt on l'apprend,
mieux c'est.
La complexit est l'ennemie de la scurit.
Vous pouvez me considrer comme un excentrique, mais je pense que le concept de simplicit est une belle
chose. Cela s'applique la conception Web, la programmation, l'organisation de sa vie et oui : la scurit.
Il est tout fait logique que la complexit entrave la scurit parce que la capacit de chacun dfendre
son systme repose sur la comprhension complte de son architecture. La complexit rend les choses plus
difficiles comprendre. J'en ai assez dit.

2.5.Conclusion
Mon espoir est que cette petite collection d'ides sur la scurit de l'information sera utile quelqu'un.
Si vous avez des questions ou des commentaires n'hsitez pas m'envoyer un courrier lectronique
<daniel(at)dmiessler.com>. Je suis sr que j'ai oubli une tonne de trucs qui auraient d tre prsents ici et
j'accepterai n'importe quelle rprimande sur ces lignes.

3.Termes techniques et documents de rfrence

An Information Security Concepts Primer
5
Article original : An Information Security Concepts Primer .
Advisories, Common Vulnerabilities and Exposures, CVE-AAAA-NNNN
Avis annonant une vulnrabilit informatique suivant un format dfini. Voir Common Vulnerabilities
6
and Exposures .
7

L'avis LSASS CVE-2004-0894 est cit en exemple.

5
6
7

http://dmiessler.com/study/infosecconcepts/
http://fr.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0894

Un article sur les concepts lmentaires en scurit de l'information

Un article sur les concepts lmentaires

en scurit de l'information
Dni de Service, DoS
8
Rendre un service Internet indisponible. Voir Dni de service .
DMZ
9
Rseau isol entre au moins deux pare-feux. Voir Zone dmilitarise .
Gestion du risque
Identifier les risques qui psent sur les actifs et les personnels d'une entreprise. Voir
10
risques .

Gestion des

Packet sniffer, renifleur, sniffeur

11
Logiciel de rcupration des informations transitant sur un rseau. Voir Packet sniffer .
Pare-feu, firewall
lment logiciel et|ou matriel ayant pour rle de filtrer les communications entre rseaux. Voir Pare12
feu .
Portknocking
Ouverture de port la demande en fonction de squences de connexions dfinies. Voir
13
KNOCKING .

PORT

Scurit par l'obscurit

14
Ne rien divulguer sur un systme pour en protger la scurit. Voir Scurit par l'obscurit .

http://fr.wikipedia.org/wiki/Dni_de_service
http://fr.wikipedia.org/wiki/Zone_dmilitarise_(informatique)
http://fr.wikipedia.org/wiki/Gestion_du_risque
11
http://fr.wikipedia.org/wiki/Packet_sniffer
12
http://fr.wikipedia.org/wiki/Pare-feu_(informatique)
13
http://www.portknocking.org/
14
http://fr.wikipedia.org/wiki/Scurit_par_l'obscurit
9

10

Un article sur les concepts lmentaires en scurit de l'information