SECURITE DES SYSTEMES D ’INFORMATION

Présentation au sujet: "SECURITE DES SYSTEMES D ’INFORMATION"— Transcription de la présentation:

1 SECURITE DES SYSTEMES D ’INFORMATION

2 PLAN Généralités sur la SSI Techniques d ’attaques
Moyens juridiques et réglementaires Politique de sécurité des systèmes d ’information Les solutions techniques

3 Chapitre 1 Généralités sur la SSI

4 Les typologies de menaces
Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE

5 Les typologies de menaces
Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun, côté potache INTERNET Tous les outils sont sur l’Internet : sites « warez »

6 Les typologies de menaces
Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands

7 Les typologies de menaces
Menace TERRORISTE = terrorisme informatique

8 Les typologies de menaces
Menace ETATIQUE = guerre informatique « Information Warfare »

9 Protéger, Collecter, Désinformer
Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer

10 DISPONIBILITE Disponibilité de l’accès aux données et aux traitements
=> Attaques visibles Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation … => CA NE MARCHE PLUS

11 INTEGRITE Intégrité des données => Attaques non visibles
Suppression Altération Désinformation Répudiation

12 CONFIDENTIALITE Confidentialité des données des services =>
Attaques visibles ou non Espionnage Divulgation Chantage

13 Typologie des menaces Menaces naturelles 26% Menaces humaines 74%
13% incendie,explosion, dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Environnement 15% Menaces naturelles 26% Pannes système 11% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation Erreurs humaines 17% Menaces humaines 74% 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Malveillance 57%

14 Utilisation de l’Internet dans les entreprises
40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, 30 % des salariés admettent envoyer des s avec des informations confidentielles à l ’extérieur de leur société, 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, à des abonnements à des listes de diffusion obsolètes….

15 Position des agresseurs
Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 %

16 La SSI : un domaine transversal
Direction, Organisation Juridique, contrats Personnel Sensibilisation Formation Réglementation Responsabilisation Administration de réseaux et systèmes R.S.S.I. Sûreté de fonctionnement Disponibilité, fiabilité Surveillance, contrôle gestion d ’anomalies Qualité Sécurité physique Technique Intrusion physique, incendie,dégâts des eaux... Fiabilité, ergonomie, maintenabilité Réseaux, informatique, bureautique

17 Chapitre 2 ATTAQUES Attaques physiques : Attaques logiques
accès physique ou se servant de caractéristiques physiques Attaques logiques

18 Attaques physiques Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) Brouillage (militaires / guerre) Ecoute (très utilisée) Piégeage Micros et Caméras espion (de plus en plus courant)

19 Attaques Logiques Social engineering (mi physique, mi logique)
Fouille de l ’ensemble répertoires / fichiers les droits attaque sur les mots de passe Canal Caché (Back Door) Déni de service Programmes parasites (Virus, ver, cheval de Troie)

20 Social engineering manipuler une personne à son insu
lui faire révéler l’information qu ’elle détient en se faisant passer pour quelqu’un d ’autre ex : Mot de passe Informations de comptes bancaires Stratégie d’entreprise…

21 Fouille de l ’ensemble répertoires / fichiers
les DROITS des Rep / FIC (UNIX : R W X) fichiers sensibles non protégés !!!! Les comptes : recherche de Comptes peu ou pas utilisés

22 Attaques sur les mots de passe
4 possibilités : Dérober un MDP (social engineering, vol, ...) Deviner un MDP (nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille…) Renifler un MDP : le « prendre » en transit en CLAIR Craquer un MDP (logiciel de crackage)

23 Les mots de passe les + courants
Nom d ’un sportif Modèle de marque automobile Nom d ’une vedette du show bizz Nom d ’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom animal de compagnie Nom d ’une personne proche

24 Le piratage téléphonique - Phreaking
Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : piratage d ’autocommutateurs d ’entreprise (PABX ou PBX) fréquemment utilisé en France Recherche automatique de modems connectés sur un réseau ==> Permet de se retrouver derrière les mesures de Protection (Firewall)

25 Canal Caché - Backdoors
créé par le concepteur du logiciel ou celui de la maintenance Permet de contourner la SSI normale ! Backdoors US dans logiciel de crypto ?

26 VIRUS Plus de 300 000 aujourd’hui !
Programme parasite : faculté de se recopier par ses propres moyens Infecte un .exe ou un document (.doc, .xls, ...) ==> se propage très rapidement encore plus avec Messagerie (Internet, Intranet) : pièces jointes divers types : furtifs, cryptés, polymorphes, …. Plus de aujourd’hui !

27 Vers Assez rares Se multiplient sur le disque dur MAIS se déplacent à travers le réseau Saturation de l’espace mémoire Engorgement files d ’attentes Peut aussi générer même dégâts que les autres programmes parasites

28 Bombes logiques Code ajouté secrètement à un OS ou à un programme
Si activée (date, lancement fichier, …) => fait exécuter un événement prédéfini =

29 Cheval de Troie Programme apparemment utile : contient des fonctions cachées => MENACE SERIEUSE inoffensif Date SI

30 Attaques Logiques Cryptanalyse
Attaques Réseau (faille protocole TCP/IP) : Scan de ports IP Spamming IP Sniffing IP Spoofing Source Routing Fragmentation Man in the Middle Enregistreur de touches

31 Attaques Logiques Scan de ports
But : obtenir liste des services offerts par un serveur Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs Intérêt : exploiter une faille éventuelle d’un des services

32 IP Spamming Inonder de messages un serveur (ou plus rarement une station) : indisponibilité de service : « deni de service » Ennemi FW internet intérieur « Destroy »

33 IP Sniffing Un intrus écoute le trafic sur le réseau
L ’intrus utilise un analyseur trames TRAFIC

34 IP Spoofing « Tuer » une station
Usurpation de son adresse MAC (cache ARP) Redirection des paquets vers l ’intrus MAC 2 3 1 CIBLE MAC

35 Source Routing Routage par la source :
Force le routeur à envoyer la réponse vers Source contenue dans le paquet Attention : même si cela ne correspond pas à ses tables de routage : usurpation d’identité B A - Requête de B se faisant passer pour A - Renvoi vers B (serveur croit qu ’il s ’agit de A) Serveur

36 MISE HORS SERVICE DU SERVEUR
Fragmentation Paquets IP trop gros : fragmentation Seul le 1er paquet a un en-tête TCP complet (et des données concernant les paquets suivants) => MISE HORS SERVICE DU SERVEUR

37 Man in the Middle B M A « M » fait croire :
- à « A » qu ’il est « B », - à « B » qu ’il est « A »

38 Enregistreurs de touches (Keyloggers)
C ’est un logiciel (peut être physique) Implantation discrète par Cheval de Troie ex : Voir en CLAIR les logins et mots de passe

39 Scénario d ’attaque Renseignement : architecture, plan @, OS, …
Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché, porte dérobée Camouflage : effacer les traces, changer les dates Propagation : rebond, virus...

40 CHAPITRE 3 Les moyens juridiques et réglementaires
- Art à CP - Loi du 6 janvier 1978 - Art à CP - Loi du 3 juillet 1985 - IGI 900 et 901

41 La riposte juridique Art. 323-1 CP
Le fait, - d ’accéder - ou de se maintenir - frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d ’un an d ’emprisonnement et de € d ’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d ’emprisonnement et de € d ’amende.

42 La riposte juridique Art. 323-2
Le fait : - d’entraver - ou de fausser le fonctionnement d ’un système de traitement automatisé de données Est puni de 3 ans d ’emprisonnement et de € d ’amende.

43 La riposte juridique Art. 323-3
Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu ’il contient est puni de 3 ans d ’emprisonnement et de € d ’amende.

44 La riposte juridique Art. 323-4
La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d ’une ou de plusieurs infractions prévues par les articles à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l ’infraction la plus sévèrement réprimée. Art : peines complémentaires pour les personnes physiques.

45 La riposte juridique information / donnée
Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information = Existence juridique sous forme de donnée

46 La LOI 78-17 du 6 janvier 1978 ==> création de la CNIL
==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés informatique + fichiers libertés du citoyen

47 Formalités préalables
La LOI du 6 janvier 1978 Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d ’un acte réglementaire de la CNIL - ou d ’une déclaration préalable. Formalités préalables à la mise en œuvre des traitements automatisés d ’informations nominatives  

48 La LOI du 6 janvier Art 29 : Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s ’engage de ce fait , vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés

49 SANS qu ’aient été respectées les formalités préalables
Sanctions pénales de la loi « informatique et libertés » Art Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de € d ’amende. «  Pas ma faute » =

50 procéder à un traitement automatisé d’informations nominatives
Sanctions pénales de la loi « informatique et libertés » Art Le fait de procéder à un traitement automatisé d’informations nominatives SANS prendre toutes précautions utiles pour préserver la sécurité de ces informations - déformées - endommagées et notamment d’empêcher qu’elles ne soient : - ou communiquées à des tiers non autorisés Est puni de 5 ans d’emprisonnement et de € d’amende.

51 pour raisons légitimes :
Sanctions pénales de la loi « informatique et libertés » Art Art : Traitement alors que opposition de la personne pour raisons légitimes : 5 ans et €

52 Sanctions pénales de la loi 78-17 « informatique et libertés » Art
Art : Le fait, hors les cas prévus par la loi, de mettre ou de conserver sans l ’accord exprès de l ’intéressé qui directement ou indirectement font apparaître : - les origines raciales - ou les opinions politiques - philosophiques - ou religieuses - ou les appartenances syndicales - ou les mœurs des personnes ==> 5 ans et €

53 Sanctions pénales de la loi 78-17 « informatique et libertés » Art
Conservation au delà de la durée prévue - dans la demande d’avis - ou déclaration préalable : ==> 3 ans et € ==

54 Détournement des traitements
Sanctions pénales de la loi « informatique et libertés » Art Détournement des traitements Par où ? T.A.I. par rapport à la déclaration : => 5 ans et €.

55 Si la divulgation provient d’une imprudence ou négligence :
Sanctions pénales de la loi « informatique et libertés » Art Divulgation, SANS autorisation de l’intéressé à des tiers qui n’ont pas qualité pour la recevoir ==> 1 an et € Si la divulgation provient d’une imprudence ou négligence : 7 500 € !

56 Sanctions pénales de la loi 78-17 « informatique et libertés »
Art : peines pour des personnes morales

57 Loi 85-860 du 3 juillet 1985 Droits d’auteurs 1/2
Complémente la loi de 1957 sur droits d ’auteurs logiciel : protégé --- attention : ne concerne pas les données Bénéficiaire de la protection : - l’employeur - si commande logiciel : selon le contrat

58 Loi 85-860 du 3 juillet 1985 Droits d’auteurs 2/2
Contenu de la PROTECTION : - monopole de l’exploitation durant 25 ans TOUTE reproduction NON autorisée : INTERDIT TOUTE utilisation NON autorisée : INTERDIT == CONTREFACON PROBLEME : la preuve ……..

59 IGI 900 et 901 Textes de base pour :
info de Défense (DR, CD, SD) : 900 info sensibles (Judiciaire, personnel,…) : 901 Autorités qualifiées, organisation SSI, homologations, ….. ==> A MEDITER

60 CHAPITRE 4: POLITIQUE DE SECURITE
entité organisation entité zone entité personnel entité matériel entité logiciel entité support entités prioritaires

61 ENTITE « ORGANISATION »
Responsabilités : Qui ? Comment ? Quoi ? Procédures : Définition, application, contrôle Engagement de Responsabilités : les « chefs » les techniciens les utilisateurs

62 ENTITE « PERSONNEL » Sensibilisation : Habilitation / Droits Formation
Chefs en PRIORITE Techniciens Utilisateurs Formation

63 ENTITE « ZONE » Contrôle d ’accès Dispositif physique : anti-intrusion
Maintenance / Entretien (ménage ! ) Environnement : clim., feu, sprinkler, ….

64 ENTITE « MATERIEL » Gestion de parc Protection : vol ….. Homologation
Maintenance : données CD ou « Confidentielle Spécifique » sur micro à envoyer en réparation !!!!

65 ENTITE « LOGICIEL » Objectifs de sécurité Sauvegarde / Archivage
Identification / Authentification (simple, forte, biométrique) Contrôle d ’accès logique Imputabilité (ne pas pouvoir dire que l’on n’a pas reçu!) Audit Développement : SSI : Prise en compte dès le début ! Objectifs de sécurité Exploitation (Version ?……) Maintenance / télémaintenance !!!!! Sauvegarde / Archivage

66 ENTITE « SUPPORT » Destruction (s ’en assurer !) Reproduction
Enregistrement / Inventaire / Marquage (CD) CD : information sur disquette uniquement ! Pas de sauvegardes sur micros ! Destruction (s ’en assurer !) Reproduction Conservation

67 ENTITE PRIORITAIRES Sécurité physique Comptes MDP
MAJ anti-virus (version ; bases de signatures) Pas de bidouille sur système !!!

68 Chapitre 5 : LES SOLUTIONS TECHNIQUES
Chiffrement Authentification Contrôle d ’accès VPN Anti-virus

69 Le Chiffrement Chiffrement à clés secrètes (symétriques)
Chiffrement à clés publiques (asymétriques) Chiffrement mixte : avec signature

70 Chiffrement à clé secrètes (symétriques)
M + Ks > M ’ : message chiffré M ’ : à travers le réseau M ’ + Ks ----> M Difficulté : distribution + gestion des clés M ’ M+Ks M ’+Ks

71 Chiffrement à clés publiques (asymétriques)
Albert veut envoyer un message à Bernard Albert : Kp(A) et Ks(A) Bernard : Kp(B) et Ks(B) M + Kp(B) ----> M ’ M ’+ Ks(B) ----> M Pb : est-on sûr que c ’est A qui envoie ?

72 Gestion des clés IGC : Infrastructure de Gestion de Clés
PKI : Public Infrastructure Key ==> Clés publiques Organisme Défense et Interministériel

73 Authentification Authentification par :
ce que l’on sait (mot de passe) ce que l’on détient (carte à puce, calculette) ce que l’on est (caractéristiques biométriques) MDP générés par l ’utilisateur Mécanismes d ’authentification forte : techniques biométriques MDP à usage unique Technique de défi/réponse Par tierces parties de confiance

74 BONS MOTS DE PASSE Longueur suffisante 8 caractères minimum
Contient lettres (MAJ. / min), caractères spéciaux, chiffres : ex: C3!ù?amp => DUR ! Facile à mémoriser (ex : 1er caractères des mots d ’une phrase) Ne peut être deviné trop facilement (nom, prénom, …) N’est pas contenu dans un dictionnaire Est changé fréquemment (3 à 6 mois maxi)

75 Contrôle d ’accès Permet d’autoriser ou d’interdire à des utilisateurs d’un système : de voir le contenu de répertoires de lire, copier des fichiers de modifier des fichiers (écrire, supprimer) d’exécuter des programmes dépend de l ’OS pas de contrôle d’accès sur Windows 3.11, 95 et 98 UNIX et WNT : droits définis R, W, X.

76 Contrôle d ’accès Protection par firewall : Bonne protection
contrôle du trafic (filtrage de paquet) filtrage applicatif (FTP, HTTP, …) entrée/sortie filtrage des ports entrée/sortie Bonne protection MAIS nécessite d ’être « suivi » de près => moyen HUMAIN

77 Contrôle d’accès FIREWALL : en coupure entre l ’extérieur et l ’intérieur : Intérieur Extérieur Firewall

78 Contrôle d ’accès Qu’est-ce qu’un paquet IP ? IP
Data 1/ Protocole d ’application (SMTP, HTTP,Telnet, FTP, …) 2/ Protocole de transport (TCP/UDP, ICMP) Data Tcp/Udp 3/ Protocole IP IP Tcp/Udp Data 4/ Protocole physique Ethernet, FDDI, ATM, …. Ethernet IP Tcp/Udp Data Fanion

79 Contrôle d’accès : Firewall
Attention : FW pas la panacée ! Vérification régulière des logs + chgt de MDP Pas de compte utilisateur sur FW Mais : possibilité sur INTERNET : récupération d ’infos pour passer à travers : Crack,…. ATTENTION…….A …………………. UNE FAUSSE SECURITE

80 VPN (Virtual Private Network)
Site Site Site Intranet/Internet Site Site Site Site Confidentialité, intégrité et authentification : transmission par Intranet / Internet

81 Anti-virus Nécessité d’avoir un anti-virus : serveurs + stations
EXCEL + WORD : les pièces jointes !!!! => nécessité de MAJ récentes => passage OBLIGATOIRE par un SAS pour les doc. venant de l’Internet ...

82 Accès distant téléphonique CALL BACK 1/2
Station 1 - RTC Serveur 2 - RTC 1 : la station appelle le serveur via RTC avec login + mdp + code 2 : le serveur rappelle coupe la COM. Si OK : le serveur rappelle la station. => Bonne sécurité

83 Accès distant téléphonique CALL BACK 2/2
Serveur informatique Station RTC routeur Serveur dédié Mieux vaut passer par un routeur Journaliser les accès

84 TCP / UDP TCP : mode connecté : 99,9 % paquets arrivent à destination
UDP : mode non connecté : non assurance d ’arrivée à destination

85 Rappel sur OSI + équipements
4 Routeur TCP UDP NCP Ports TCP Filtrage 3 IP IPX Netbios @ IP filtrage VLAN IP 2 Ethernet FDDI Token Ring Hub @ MAC sécurité Pont 1 Switch 10 base 5 10 baseT 100 baseT répéteur

86 Firewall /Routeur Routeur : Firewall niveau 1 à 4
filtrage entre machines Firewall niveaux 3 à 7 filtrage fin sens des appels gestion des individus administration évoluée programmabilité stockage

87 Firewall / Routeur Actions de Filtrage :
Routeur : acceptation, refus, rejet, routage forcé, traçage, alarme, priorité, partage de ressources, tunnel, conversion statique Firewall : conversion dynamique Critères de filtrage : Routeur : ports, protocole niv source et destination, protocole niv 4, port TCP Firewall : appels entrants et sortants, allocation dynamique de ports TCP, commandes

88 Firewall / Routeur Tunnel :
Routeur : encapsulation IP/IP, masquage IP Firewall : authentification, chiffrement, scellement Surveillance Routeur : alarme, trace limitée en mémoire FW: journal sur disques, alarmes distantes, statistiques, rapports, outils d ’analyse, détection d ’anomalies, antivirus Ergonomie : Routeur : telnet, FTP, SNMP FW : X11, Windows, Web

89 Gestion des usagers : Firewall / Routeur Routeur : / FW :
identification, authentification, carte à puce, calculette S/Key, socks, gestion des droits et horaires, sillage UDP, sillage TCP liste serveurs autorisés / interdits / réservés

90 ==> ROUTEUR : Firewall / Routeur
dégrossissage par filtrage primaire Int FW Routeur Ext

91 Exemple : filtrage fin de FTP
EXT EXT FIREWALL INT Appels : sortant Clients FTP : Tous internes Serveurs FTP : Tous externes Commandes : lecture, listage Sens autorisé des données Serveur ALPHA Client Bêta Appels : entrant Clients FTP : client Bêta Serveurs FTP : serveur Alpha Commandes : listage, création, écriture

92 Structure interne d ’un firewall
administration OS : UNIX NT FTP 20,21 Web HTTP 80 Mail SMTP 25 News NNTP 114, 119 Telnet23 Autre Filtrage fin de paquets UDP / TCP IP Ethernet / Token Ring

93 Les critères de sécurité 1/3
Les certifications US –TCSEC Trusted Computer Systems Evaluation Criteria 1983 Orange Book pour les OS D : sécurité insuffisante C1 : politique discrétionnaire C2 : idem B1 : politique obligatoire B2 : idem B3 : idem A : preuve formelle de sécurité

94 Les critères de sécurité 2/3
Critères européens ITSEC Information Technology Security Evaluation 4 pays : France, Allemagne, GB, Pays-bas vise une architecture et non un produit séparation des fonctionnalités et du niveau d’assurance E0 : sécurité insuffisante E1 : politique discrétionnaire E2 : idem E3 : politique obligatoire E4 : idem E5 : idem E6 : preuve formelle de sécurité FC 0 : pas d ’assurance FC1 : assurance … FC6 : complète assurance

95 Les critères de sécurité 3/3
Les critères communs TCSEC + ITSEC ==> CC (Critères Communs) Normalisation internationale : ISO 15408

96 Quelques sites SSI sur le WEB
SCSSI CLUSIF Computer Associates CNIL Schauer Consultant

97 Cryptographie : la législation

98 Le certificat serveur : le protocole SSL
Les services offerts par SSL 3.0 authentification du serveur auprès du client authentification du client auprès du serveur (optionnel) confidentialité assurée par chiffrement à clé secrète intégrité des données L’algorithme de chiffrement est négocié par le client et le serveur SSL est basé sur la technologie à clé publique et les certificats l’utilisation des certificats est transparente les navigateurs contiennent déjà les certificats des principales CA publiques

99 Où est stockée la clé privée ?
Stockée sur un jeton « logiciel » ou « physique » Jeton « logiciel » sur disque dur sur disquette Jeton physique = support physique séparé carte à puce L’accès est protégé par un mot de passe ou un PIN Personal Identification Number

100 Les avantages de la cartes à puce
Haut niveau de sécurité Portabilité Pas de copie possible Authentification très forte (ce que l’on a : la carte et ce que l’on sait : le PIN) La carte peut supporter d’autres applications (badge entreprise)

101 A Bientôt et bon courage !
Ensemble, Améliorons la SSI A Bientôt et bon courage !