SECURITE DU SYSTEME D’INFORMATION (SSI) Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI) 3ième IAG 2009-2010

Plan du cours Chapitre 1– Introduction à la sécurité Chapitre 2– Les risque et les menaces informatique Chapitre 3– la protection informatique Sécurité physique du système informatique. Sécurité logique du système d’information. Sécurité des systèmes d’exploitation. Chapitre 4 – les solutions de sécurité pour les réseaux d’entreprise Chapitre 5 – Introduction à la cryptographie

Plan des TP Voir concrètement quelques attaques informatiques pour la prise de contrôle à distance de l’ordinateur victime. Explorer les techniques de capture et de déduction des mots de passes et étudier la robustesse des mots de passe face à l’ingénierie sociale. Étudier les failles exploitables par les pirates. Implémenter les mécanismes nécessaires pour la sécurisation d’un système informatique d’une entreprise. Cryptage des données (chiffrement et déchiffrement des données).

CHAPITRE 1 Introduction à la sécurité Informatique

Remarque – Les outils mis à disposition ne doivent être utilisés qu’à des fins de tests et pour augmenter la sécurité de réseau cible; – Il est illégale de les mettre en œuvre pour modifier, ajouter, supprimer ou prendre connaissance d’informations non déclarées comme publiques;

La sécurité absolue n’existe pas On ne peut jamais être sûr d’être parfaitement en sécurité, d’avoir réglé tous les problèmes de sécurité. Tout ce qu’on peut faire, c’est 1- améliorer notre sécurité par rapport à ce qu’elle était avant ou 2- nous comparer et nous trouver mieux ou moins bien en sécurité que quelqu’un d’autre. Il y a toujours un élément de comparaison. Par conséquent, votre travail ne peut consister à exiger la sécurité absolue. Il consiste plutôt à : 1- Vous assurer que toutes les précautions raisonnables ont été prises pour optimiser la protection des renseignements personnels confiés à l’État. 2- Et, la sécurité étant une chose dynamique qui évolue dans le temps, votre tâche consiste aussi à évaluer les processus mis en place pour entretenir la sécurité à long terme. La toute première notion générale à prendre en considération, c’est que la sécurité est fondamentalement un concept relatif. On ne peut jamais être sûr d’être parfaitement en sécurité, d’avoir réglé tous les problèmes de sécurité. Tout ce qu’on peut faire, c’est 1- améliorer notre sécurité par rapport à ce qu’elle était avant ou 2- nous comparer et nous trouver mieux ou moins bien en sécurité que quelqu’un d’autre. Il y a toujours un élément de comparaison. Par conséquent, votre travail ne peut consister à exiger la sécurité absolue. Il consiste plutôt à : 1- Vous assurer que toutes les précautions raisonnables ont été prises pour optimiser la protection des renseignements personnels confiés à l’État. 2- Et, la sécurité étant une chose dynamique qui évolue dans le temps, votre tâche consiste aussi à évaluer les processus mis en place pour entretenir la sécurité à long terme.

La sécurité absolue n’existe pas La sécurité absolue n’existe pas essentiellement parce que nous sommes à la merci de la conjoncture. Le temps qui passe apporte le changement et, en matière de sécurité, le changement se traduit souvent par l’apparition ou la découverte de nouvelles sources de risques. Mais la sécurité absolue n’existe pas pour une autre raison beaucoup plus concrète: c’est que les ressources que nous pouvons lui consacrer sont limitées.

D’où la nécessité d’évaluer l’opportunité d’investir En fonction de l’importance des données à protéger; En fonction de la probabilité d’une fuite. À cause de cette limitation, il nous faut décider à quel endroit il nous faut investir dans la sécurité. Les deux principaux critères pour nous permettre de procéder aux choix qui s’imposent sont: 1- L’importance, ou la sensibilité, des données à protéger; et 2- La probabilité d’une fuite.

Systèmes d’information : L’information se présente sous trois formes : les données, les connaissances et les messages. On désigne par « système d’information » l’ensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre l’information.

Notion de Système d'Information Une entreprise crée de la valeur en traitant de l'information, en particulier dans le cas des sociétés de service. Ainsi, l'information possède une valeur d'autant plus grande qu'elle contribue à l'atteinte des objectifs de l' entreprise. Un système d'Information (noté SI) représente l'ensemble des éléments participant à la gestion, au traitement, au transport et à la diffusion de l'information au sein de l'entreprise.

Le Système d'Information Très concrètement le périmètre du terme Système d'Information peut être très différent d'une organisation à une autre et peut recouvrir selon les cas tout ou partie des éléments suivants : Bases de données de l'entreprise, Progiciel de gestion intégré (ERP - Entreprise Ressources Planning), Outil de gestion de la relation client (CRM – Customer Relationship Management), Outil de gestion de la chaîne logistique (SCM – Supply Chain Management), Applications métiers, Infrastructure réseau, Serveurs de données et systèmes de stockage, Serveurs d'application, Dispositifs de sécurité.

Valeur et propriétés d’une information On ne protège bien que ce à quoi on tient, c’est-à-dire ce à quoi on associe «une valeur ». La disponibilité, confidentialité, intégrité,et l’authentification déterminent la valeur d’une information. La sécurité des systèmes d’information (SSI) a pour but de garantir la valeur des informations qu’on utilise, si cette garantie n’est plus assurée, on dit que le système d’information a été altéré (corrupted).

La sécurité des systèmes d’information SSI Le concept de sécurité des systèmes d’information recouvre un ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système d’information afin d’assurer : la disponibilité des services : les services (ordinateurs, réseaux, périphériques, applications…) et les informations (données, fichiers…) doivent être accessibles aux personnes autorisées quand elles en ont besoin. l’intégrité des systèmes : les services et les informations (fichiers, messages…) ne peuvent être modifiés que par les personnes autorisées (administrateurs, propriétaires…). la non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction. la confidentialité des informations : les informations n’appartiennent pas à tout le monde , seuls peuvent y accéder ceux qui en ont le droit. l’authentification des utilisateurs du système

Quand l’information est-elle sensible? Quand de réels renseignements sont en cause; Quand leur divulgation peut porter préjudice aux personnes concernées, même théoriquement; Toutes les données qui nous passent entre les mains ne se méritent pas l’attention de la loi. Pour que nous consacrions des efforts à leur protection, il faut qu’ils s’agisse réellement de renseignements personnels dont la divulgation peut entraîner des préjudices.

Comment évaluer la probabilité d’une atteinte? Se méfier des effets déformants de l’inconnu; Moins on a l’impression d’être en contrôle de la situation, plus on a tendance à exagérer le risque. On doit donc s’employer à dissiper l’inconnu et à garder la tête froide. Dans Internet comme en bien d’autres domaines, il faut essayer de résister aux déformations induites par le manque de contrôle. L’estimation du risque doit s’appuyer sur une bonne information et un jugement porté en gardant la tête froide. Nous allons donc essayer de vous communiquer les bases nécessaires pour y parvenir.

Quelques statistiques Après un test de 12 000 hôtes du département de la défense américaine, on retient que 1 à 3% des hôtes ont des ouvertures exploitables et que 88% peuvent être pénétrés par les relations de confiance. Enfin, le nombre de voleurs d’informations a augmenté de 250% en 5 ans, 99% des grandes entreprises rapportent au moins un incident majeur les fraudes informatiques et de télécommunication ont totalisés 10 milliards de dollars pour seuls les Etats- Unis. 1290 des plus grandes entreprises rapportent une intrusion dans leur réseau interne et 2/3 d’entre elles à cause de virus.