Introduction la scurit informatique

Septembre 2015
1. Introduction la scurit
2. Objectifs de la scurit informatique
3. La confidentialit
4. L'intgrit
5. La disponibilit
6. La non-rpudiation
7. L'authentification
8. Ncessit d'une approche globale
9. Mise en place d'une politique de scurit
10. Les causes de l'inscurit
11. Pour approfondir

Avec le dveloppement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur systme
d'information leurs partenaires ou leurs fournisseurs, il est donc essentiel de connatre les ressources de
l'entreprise protger et de matriser le contrle d'accs et les droits des utilisateurs du systme
d'information. Il en va de mme lors de l'ouverture de l'accs de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant permettre aux personnels de se connecter au systme
d'information partir de n'importe quel endroit, les personnels sont amens transporter une partie du
systme d'information hors de l'infrastructure scuris de l'entreprise.

Introduction la scurit
Le risque en terme de scurit est gnralement caractris par l'quation suivante :

La menace (en anglais threat ) reprsente le type d'action susceptible de nuire dans l'absolu, tandis
que la vulnrabilit (en anglais vulnerability , appele parfois faille ou brche) reprsente le niveau
d'exposition face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des
actions mises en oeuvre en prvention de la menace.
Les contre-mesures mettre en oeuvre ne sont pas uniquement des solutions techniques mais galement
des mesures de formation et de sensibilisation l'intention des utilisateurs, ainsi qu'un ensemble de rgles
clairement dfinies.
Afin de pouvoir scuriser un systme, il est ncessaire d'identifier les menaces potentielles, et donc de
connatre et de prvoir la faon de procder de l'ennemi. Le but de ce dossier est ainsi de donner un
aperu des motivations ventuelles des pirates, de catgoriser ces derniers, et enfin de donner une ide

de leur faon de procder afin de mieux comprendre comment il est possible de limiter les risques
d'intrusions.

Objectifs de la scurit informatique

Le systme d'information est gnralement dfini par l'ensemble des donnes et des ressources
matrielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le systme
d'information reprsente un patrimoine essentiel de l'entreprise, qu'il convient de protger.
La scurit informatique, d'une manire gnrale, consiste assurer que les ressources matrielles ou
logicielles d'une organisation sont uniquement utilises dans le cadre prvu.
La scurit informatique vise gnralement cinq principaux objectifs :
L'intgrit, c'est--dire garantir que les donnes sont bien celles que l'on croit tre ;
La confidentialit, consistant assurer que seules les personnes autorises aient accs aux
ressources changes ;
La disponibilit, permettant de maintenir le bon fonctionnement du systme d'information ;
La non rpudiation, permettant de garantir qu'une transaction ne peut tre nie ;
L'authentification, consistant assurer que seules les personnes autorises aient accs aux
ressources.

La confidentialit
La confidentialit consiste rendre l'information inintelligible d'autres personnes que les seuls acteurs
de la transaction.

L'intgrit
Vrifier l'intgrit des donnes consiste dterminer si les donnes n'ont pas t altres durant la
communication (de manire fortuite ou intentionnelle).

La disponibilit
L'objectif de la disponibilit est de garantir l'accs un service ou des ressources.

La non-rpudiation
L a non-rpudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la
transaction.

L'authentification
L'authentification consiste assurer l'identit d'un utilisateur, c'est--dire de garantir chacun des
correspondants que son partenaire est bien celui qu'il croit tre. Un contrle d'accs peut permettre (par
exemple par le moyen d'un mot de passe qui devra tre crypt) l'accs des ressources uniquement aux
personnes autorises.

Ncessit d'une approche globale

La scurit d'un systme informatique fait souvent l'objet de mtaphores. En effet, on la compare
rgulirement une chane en expliquant que le niveau de scurit d'un systme est caractris par le
niveau de scurit du maillon le plus faible. Ainsi, une porte blinde est inutile dans un btiment si les
fentres sont ouvertes sur la rue.
Cela signifie que la scurit doit tre aborde dans un contexte global et notamment prendre en compte
les aspects suivants :
La sensibilisation des utilisateurs aux problmes de scurit
La scurit logique, c'est--dire la scurit au niveau des donnes, notamment les donnes de
l'entreprise, les applications ou encore les systmes d'exploitation.
La scurit des tlcommunications : technologies rseau, serveurs de l'entreprise, rseaux
d'accs, etc.
La scurit physique, soit la scurit au niveau des infrastructures matrielles : salles scurises,
lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

Mise en place d'une politique de scurit

La scurit des systmes informatiques se cantonne gnralement garantir les droits d'accs aux
donnes et ressources d'un systme en mettant en place des mcanismes d'authentification et de contrle
permettant d'assurer que les utilisateurs des dites ressources possdent uniquement les droits qui leur ont
t octroys.
Les mcanismes de scurit mis en place peuvent nanmoins provoquer une gne au niveau des
utilisateurs et les consignes et rgles deviennent de plus en plus compliques au fur et mesure que le
rseau s'tend. Ainsi, la scurit informatique doit tre tudie de telle manire ne pas empcher les
utilisateurs de dvelopper les usages qui leur sont ncessaires, et de faire en sorte qu'ils puissent utiliser le
systme d'information en toute confiance.
C'est la raison pour laquelle il est ncessaire de dfinir dans un premier temps une politique de scurit,
dont la mise en oeuvre se fait selon les quatre tapes suivantes :
Identifier les besoins en terme de scurit, les risques informatiques pesant sur l'entreprise et leurs
ventuelles consquences ;
Elaborer des rgles et des procdures mettre en oeuvre dans les diffrents services de l'organisation
pour les risques identifis ;
Surveiller et dtecter les vulnrabilits du systme d'information et se tenir inform des failles sur les
applications et matriels utiliss ;
Dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une menace ;

La politique de scurit est donc l'ensemble des orientations suivies par une organisation ( prendre au
sens large) en terme de scurit. A ce titre elle se doit d'tre labore au niveau de la direction de
l'organisation concerne, car elle concerne tous les utilisateurs du systme.
A cet gard, il ne revient pas aux seuls administrateurs informatiques de dfinir les droits d'accs des
utilisateurs mais aux responsables hirarchiques de ces derniers. Le rle de l'administrateur informatique
est donc de s'assurer que les ressources informatiques et les droits d'accs celles-ci sont en cohrence
avec la politique de scurit dfinie par l'organisation.
De plus, tant donn qu'il est le seul connatre parfaitement le systme, il lui revient de faire remonter les
informations concernant la scurit sa direction, ventuellement de conseiller les dcideurs sur les
stratgies mettre en oeuvre, ainsi que d'tre le point d'entre concernant la communication destination
des utilisateurs sur les problmes et recommandations en terme de scurit.
La scurit informatique de l'entreprise repose sur une bonne connaissance des rgles par les employs,
grce des actions de formation et de sensibilisation auprs des utilisateurs, mais elle doit aller au-del et
notamment couvrir les champs suivants :
Un dispositif de scurit physique et logique, adapt aux besoins de l'entreprise et aux usages des
utilisateurs ;
Une procdure de management des mises jour ;
Une stratgie de sauvegarde correctement planifie ;
Un plan de reprise aprs incident ;
Un systme document jour ;

Les causes de l'inscurit

On distingue gnralement deux types d'inscurits :
l'tat actif d'inscurit, c'est--dire la non connaissance par l'utilisateur des fonctionnalits du
systme, dont certaines pouvant lui tre nuisibles (par exemple le fait de ne pas dsactiver des services
rseaux non ncessaires l'utilisateur)
l'tat passif d'inscurit, c'est--dire la mconnaissance des moyens de scurit mis en place, par
exemple lorsque l'administrateur (ou l'utilisateur) d'un systme ne connat pas les dispositifs de scurit
dont il dispose.

Pour approfondir
Formation Systme d'Information
Prcdent
1
2
3
4
5

6
7
Suivant

Ralis sous la direction de Jean-Franois PILLOU,

fondateur de CommentCaMarche.net.
Ce document intitul Introduction la scurit informatique issu de CommentCaMarche (www.commentcamarche.net) est mis
disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les
conditions fixes par la licence, tant que cette note apparat clairement.