Sécurité des SI Par Cronne Matthew / Ogryzek Robert / Frontin Teddy / Lambert Kevin
Sommaire 1) Définition 2) La sécurité des SI 3) Démarche générale 4) Phase PLAN 5) Phase DO 6) Phase CHECK 7) Phase ACT 8) Cryptographie : Avantages Inconvénients
Définition La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information. Assurer la sécurité du système d'information est une activité du management du système d’information
La Sécurité des SI Disponibilité Intégrité Confidentialité Traçabilité Autre : L’authentification et l’imputation Copyright
Démarche général Evaluer les risques et leur criticité Rechercher et sélectionner les parades Mettre en œuvre les protections
Phase PLAN: Planification de la démarche de sécurisation des systèmes d’informations 1) Périmètre et politique 2) Evaluation des risques 3) Traiter le risque et évaluer le risque résiduel 4) Sélectionner les mesures à mettre en place
Phase DO : Mise en place des objectifs Plan de traitement des risques Déployer des mesures de sécurité Générer les indicateurs Former et sensibiliser le personnel Gérer le SMSI au quotidien Détection et réaction rapide des incidents
Phase CHECK : Mise en place de moyen de contrôle Les audits internes Le contrôle interne Les réexamens
Phase ACT : Mise en place d’actions Actions correctives Actions préventives Actions d’amélioration
Cryptographie Ensemble des techniques permettant de crypter / décrypter des messages Crypter : brouiller l’information, la rendre “incompréhensible” Décrypter : rendre le message compréhensible Message clair #¨^%!! §§ $ Message clair encryption décryption
Deux types de clé Asymétrique (clé publique et privé) Symétrique (facile à implémenter, rapide)
Cryptographie : Avantages Message chiffré avec la clé publique seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous Message chiffré avec la clé privée altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité pas de confidentialité : la clé publique peut être utilisée par tous pour lire la clé privée dévoile l’identité de l’expéditeur propriétaire de la clé privée
Inconvénient Algorithmes complexes et difficiles à implémenter Peu performant : long et gourmand en CPU 1000 plus lents que les algorithmes à clés symétriques Moins sûrs contre les attaques de « force brute » nécessite des clés plus longues que les algorithmes symétriques