Professional Documents
Culture Documents
Chapitre 1: Introduction
Objectifs de la scurit
LAABIDI Mounira
Objectifs de ce module
Chapitre 1: Introduction
Objectifs de la scurit
Plan du cours:
Cryptographie
Cryptographie symtrique
Cryptographie asymtrique
Fonction de Hachage et signature numriques
Scurit des systmes d'exploitation et du logiciel
Contrle daccs
Modles de scurit
Aperu darchitectures matrielles
Scurit du logiciel
Code malicieux
Coding errors
Software security verification
Scurit des rseaux
Les vulnrabilits du rseau
Les techniques de dfenses
LAABIDI Mounira
Chapitre 1: Introduction
Gnralits
LAABIDI Mounira
Chapitre 1: Introduction
Confidentialit
Intgrit
BD
Disponibilit
LAABIDI Mounira
LAABIDI
Mounira
5 5
Chapitre 1: Introduction
Objectifs de la scurit
La proprit CIA de la scurit:
Confidentialit (Confidentiality)
Linformation nest seulement accessible
quaux personnes autorises. Tout accs non
autoris doit tre empch.
Intgrit (Integrity)
Linformation transmise ne doit pas tre modifie
durant lenvoi.
Confidentialit
Disponibilit (Availability)
Laccs aux services et ressources installes
doit tre garanti durant les plages dutilisation
prvues.
Intgrit
LAABIDI Mounira
Disponibilit
6
Chapitre 1: Introduction
LAABIDI Mounira
Chapitre 1: Introduction
LAABIDI Mounira
Chapitre 1: Introduction
Menaces de la scurit
La norme ISO 27005 dfinie une menace comme:
potential cause of an incident, that may result in harm of systems and
Organization.
Une Menace :
Action ou vnement susceptible de porter prjudice la scurit
LAABIDI Mounira
Chapitre 1: Introduction
Menaces de la scurit
Quels sont les Types de Menace ?
Menaces passives : consistent couter ou copier des informations
de manire illicite
Menaces actives : consistent altrer des informations ou le bon
fonctionnement dun service
Passive Threats
Active Threats
Interception
(Confidentiality)
Interruption
(Availability)
Release of message
contents
Modification
(Integrity)
Fabrication
(authenticity)
Traffic analysis
LAABIDI Mounira
10
Chapitre 1: Introduction
Menaces de la scurit
LAABIDI Mounira
11
Chapitre 1: Introduction
Vulnrabilits et Attaques
LAABIDI Mounira
12
Chapitre 1: Introduction
Vulnrabilits et Attaques
Attaque de scurit :
une action dexploitation dune vulnrabilit qui compromet la scurit
de linformation possde par une organisation
LAABIDI Mounira
13
Chapitre 1: Introduction
Vulnrabilits et Attaques
Menace :
Personne ou entit qui met un actif risque
Eau
Actif (Atout) :
Objet ayant de la valeur
Personnage
Vulnrabilit :
Faille qui offre lopportunit datteindre un actif
Fissure dans la digue
Impact :
Perte de ou dommage un actif
Submersion du personnage
Scnario :
Exploitation dune vulnrabilit par une menace
pour causer un impact
Leau sinfiltre dans la fissure de la digue pour
submerger le personnage
LAABIDI Mounira
14
Chapitre 1: Introduction
Atteinte la confidentialit
Menaces dinterception
- Surveillance du rseau
- Vol de donnes
- Espionnage
Contre-mesures
- Cryptographie et chiffrement
- Contrle daccs : Mot de passe, biomtrie
- Formation du personnel
LAABIDI Mounira
15
Chapitre 1: Introduction
Atteinte lintgrit
Menaces de modification
- Code malicieux : Virus, Ver, Bombes logiques, -- Portes drobes
- URL Malveillants
-Erreurs humaines
Contre-mesures
- Cryptographie : Signature, authentification
- Systmes de dtection dintrusion
- Antivirus
- Politique de sauvegarde
LAABIDI Mounira
16
Chapitre 1: Introduction
Atteinte la disponibilit
Menaces de saturation
- Denis de services : DOS
- Email SPAM
-Pannes logicielles ou matrielles
Contre-mesures
- Pare-feu
- Systmes de dtection dintrusions
- Clustering
- Formation des administrateurs
LAABIDI Mounira
17
Chapitre 1: Introduction
Atteinte lauthentification
LAABIDI Mounira
18
Chapitre 1: Introduction
Quelques chiffres
LAABIDI Mounira
19
Chapitre 1: Introduction
La gestion du risque
Risque (risk): probabilit de lexploitation dune vulnrabilit par une menace
portant atteinte un actif.
La norme ISO 27000 definie le risque comme:
the potential that a given threat will exploit vulnerabilities of an asset or
group of assets and thereby cause harm to the organization. It is measured
in terms of a combination of the probability of occurrence of an event and
its consequence.
20
Chapitre 1: Introduction
LAABIDI Mounira
21
Chapitre 1: Introduction
Crackers
Les crackers sont des professionnels qui recherchent, reprent et exploitent
les failles des systmes et rseaux sans autorisations et pour des buts
illgaux. Cest les mchants chapeaux noirs :
LAABIDI Mounira
22
Chapitre 1: Introduction
Script Kiddies
Des amateurs qui piratent en exploitant des programmes crits par dautres. Ils ne
disposent que de peu de connaissances sur leur mode de fonctionnement et
cherchent souvent impressionner par leurs toutes nouvelles connaissances en
informatique. Les script Kiddies ont en moyenne 12-15 ans.
LAABIDI Mounira
23
Chapitre 1: Introduction
LAABIDI Mounira
24
Chapitre 1: Introduction
29/08/2015
LAABIDI Mounira
25
Chapitre 1: Introduction
Attaques
d'entreprise
Pirates
Attaques
automatises
Donnes
confidentielles
Violations
accidentelles
de la scurit
DoS
chec de la connexion
Dni de
service (DoS)
Virus,
chevaux de
Troie et vers
29/08/2015
LAABIDI Mounira
26
Apprciation du risque
Analyse du risque
Identification
du contexte
Identification
du risque
Estimation du
risque
Evaluation du
risque
Suivi et
rvaluation
Acceptation
du risque
Traitement du
risque
Communication du risque
29/08/2015
LAABIDI Mounira
27
Identification du contexte
Dcrit le but du processus de gestion des risques
Dfinition des critres
Evaluation du risque
Dpendent de: valeur des processus, des actifs, conformit lgale,
proprits de scurit (confidentialit, intgrit, disponibilit)
Evaluation de limpact
Dfinit une chelle
Dpendent de: perte encourue, image, non-conformit avec la loi,
violation de contrat, degr de classification des actifs impacts
Acceptation du risque
Lie aux objectifs et politiques de lorganisation
Dpendent de: objectifs business, aspects lgaux, technologiques,
financiers
29/08/2015
LAABIDI Mounira
28
Identification du contexte
Dfinition de lobjet et du primtre
Lis aux objectifs de lorganisation, sa structure, aux
29/08/2015
LAABIDI Mounira
29
Identification du risque
Objectif: comprendre ce qui pourrait causer un
dommage lobjet de lanalyse
Identification des actifs
Actifs primaires
Processus, information, connaissance
Actifs secondaires
Infrastructure, logiciel, site, personnel
30
Identification du risque
Identification des mesures dj en place
Identification des vulnrabilits
Diffrents niveaux: environnement, personnel, procdures,
menaces
Identification des consquences
Financires, rputation, temps (rparation, indisponibilit)
Rsultat: liste des incidents et leurs consquences
29/08/2015
LAABIDI Mounira
31
Identification du Risque
Il y a un risque si un scnario a une chance de
se raliser
Mme sil y a une vulnrabilit, pas de risque si
pas de menace
Mme sil y a une menace, pas de risque sans
vulnrabilit
Pas de risque sil ny a pas denjeu
29/08/2015
LAABIDI Mounira
32
Estimation du risque
Deux facteurs
Impact
Probabilit
Mthodes
Qualitative
Par ex: Bas, moyen, lev ou chelle 1-10
Facile comprendre mais subjectif
Quantitative
Valeurs numriques, drives de modles ou donnes antrieures
Difficile dobtenir des valeurs ralistes
29/08/2015
LAABIDI Mounira
33
Estimation du risque
Le risque informatique sapparente un
loterie o on ne peut que perdre !
Svalue comme une loterie :
E P I
Esprance
de perte
29/08/2015
Probabilit
dincident
LAABIDI Mounira
Impact dun
incident
34
Estimation du risque
Comment estimer le risque :
Impact : sous notre contrle, facile valuer
Risques naturels :
Valeurs connues (statistiques, actuariat, historique
de catastrophes, etc.) pour Probabilit
Risques dlibrs :
Pas vnement alatoire
Comment valuer le risque ?
Analyse de risque
29/08/2015
LAABIDI Mounira
35
Opportunit
Espace : avoir accs physique
Connectivit : existence d'un lien physique et logique
Temps : tre "l" au bon moment
Motivation
" qui profite le crime ?" (Qui)
Que gagne l'attaquant ? (Quoi)
Combien gagne t-il ? (Combien)
LAABIDI Mounira
36
Evaluation du risque
Classification des risques daprs leur
valuation compare avec les critres
dvaluation et dacceptation dfinis dans le
contexte
Dtermine
Si action doit tre prise
Priorit de traitement
29/08/2015
LAABIDI Mounira
37
Traitement du risque
Dpend du rapport cot/bnfice
Diffrents types:
Acceptation du risque
Rduction du risque
Transfert du risque
Refus du risque
Risques rsiduels
29/08/2015
LAABIDI Mounira
38
Contrles du matriel
Contrle de l'accs au matriel: identification et authentification
Contrles physiques: serrures, camras de scurit, gardiens, etc
Procdures
29/08/2015
LAABIDI Mounira
39
Cot total
29/08/2015
LAABIDI Mounira
40
29/08/2015
LAABIDI Mounira
41
Le reste de la dmarche
Acceptation (formelle) du risque
Validation par le management des contrles slectionns et des
risques rsiduels
Communication du risque
Objectif: sassurer que toutes les parties sont informes et
communiquent quant aux dcisions prises
Communication bi-directionnelle
Suivi et r-valuation
Les risques ne sont pas statiques: objectifs, contexte, actifs, menaces,
vulnrabilits voluent
Apparition/disparition
LAABIDI Mounira
42