La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Chapitre 8 : La sécurité dans les SI

Publié parÉlise Boulet Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Chapitre 8 : La sécurité dans les SI"— Transcription de la présentation:

1 Chapitre 8 : La sécurité dans les SI

2 Objectifs du chapitre Comprendre l’aspect global de la sécurité des SI
Savoir ce qu’est un plan de secours Connaître les bases de la sécurité physique et logique Connaître quelques mesures de sécurité

3 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

4 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

5 L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise.

6 Cela consiste À diminuer la probabilité de voir des menaces se concrétiser À en limiter les atteintes Et à autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre

7 La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre.
Il existe autant de politiques, de procédures, d'outils de sécurité que d'entreprises et de besoins sécuritaires.

8 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

9 Notion de sinistre Un sinistre est :
« la détérioration notable des fonctionnalités d’un SI » Un sinistre est possible car un SI est vulnérable Le préalable au sinistre est «l’agression »

10 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

11 4 classes de risques Classe 1 : les accidents Classe 2 : les erreurs
Incendie, inondation, pannes techniques Classe 2 : les erreurs Erreur de saisie manuelle de l’information Erreur de conception et de réalisation des logiciels (bugs)

12 4 classes de risques Classe 3 : les malveillances
Vol, fraudes, sabotage, piratage Indiscrétions Attaques virales Détournement de biens Classe 4 : les risques divers Grève, départ du personnel spécialisé

13 Les risques encourus proviennent donc de 2 sources :
Risques externes Risques internes

14 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

15 La sécurité des SI est un concept à deux dimensions
Dimension technique (informatique) Dimension organisationnelle, managériale et humaine

16 La politique de sécurité correspond à ce que l’entreprise met en œuvre pour assurer la sécurité du SI. L’important est d’assurer la continuité de l’exploitation c’est-à-dire du fonctionnement de l’entreprise.

17 2 aspects dans la sécurité :
Préventif : réduire le degré de vulnérabilité Curatif : mesures de récupération, mesures palliatives

18 La gestion de la sécurité se fait dans un univers incertain
Les sinistres résultent de causes diverses et parfois de combinaisons de causes difficilement prévisibles

19 Cela signifie que la sécurité doit être abordée dans un contexte global :
La sensibilisation des utilisateurs aux problèmes de sécurité La sécurité des télécommunications La sécurité logique : données et programmes La sécurité physique : locaux, infrastructures, matériels

20 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

21 Assurer la continuité d’exploitation
La sécurité absolue ne peut pas être garantie. Il faut donc anticiper l'arrivée de tels sinistres en ayant prévu un plan de secours. Lors de la survenance de sinistre et dans la panique et le stress, il est évidemment trop tard pour se demander qui fait quoi, où et comment ?

22 Les plans de secours Il n'est pas seulement composé des moyens de secours. Il doit comprendre une structure de gestion de crise, la planification des différentes actions prêtes à être exécutées et des procédures formalisées.

23 Composition des plans de secours
Un plan de secours se décompose en différents plans : un plan de gestion et de communication de crise, (plan de continuité d'activité) par métiers de l'entreprise, pouvant nécessiter un site de repli hébergeant les activités prioritaires. un plan de retour à une situation normale.

24 Composition des plans de secours
Ces plans doivent être déclinés en fonction des sinistres qu'ils doivent pallier. Un plan de secours " viral " n'aura pas les mêmes caractéristiques qu'un plan de secours " inondation ".

25 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

26 Démarche sécurité Utilisation d’une méthode
En France : Méthode M.A.R.I.O.N MARION = Méthode d’Analyse des Risques Informatiques et d’ Optimisation par Niveaux

27 Démarche sécurité : MARION
1. Analyse des risques 2. Expression du risque maximum admissible 3. Analyse des moyens de la sécurité 5. Choix des moyens Protection, prévention 4. Evaluation des contraintes 6. Plan d’orientation

28 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

29 Mesures de sécurité Il est très difficile de lister l’ensemble des mesures possibles. On peut se donner quelques pistes de réflexion grâce à une analyse par décomposition successive

30 Analyse par décomposition (exemple)
Vulnérabilité (voie d’accès à une ressource du système) Voie d’accès logique (données, programmes) Voie d’accès physique Aux locaux Aux ressources dans les locaux Aux ressources hors des locaux Violation des droits d’accès Usurpation des droits d’accès

31 Analyse par décomposition (exemple)
Auteur de l’agression La Nature Individu Incendie Eaux Autres Malveillance Erreurs Vengeance Gain Jeux

32 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

33 Mesures de sécurité Sécurité physique des ressources Locaux adaptés
Protection incendie et eaux rigoureuse Sécurisation des accès aux locaux : badge, serrure à code, Biométrie Détecteurs d’intrusion, radars, alarmes Back-up : sauvegarde de données permettant une récupération (à faire régulièrement !!!) Utilisation d’un onduleur

34 Mesures de sécurité Sécurité logique (données et programmes)
Firewall (pare feu) Appliances en sécurité (solution matérielle et logicielle immédiatement utilisable) Identification des utilisateurs par mots de passe (changés périodiquement) Gestion des accès réseaux

35 Mesures de sécurité Sécurité logique (données et programmes) suite
Confidentialité par chiffrement Contrôle des erreurs de saisie (procédures de vérification dans le logiciel) Antivirus, anti-spyware,

36 Mesures de sécurité Sécurité générale
Séparation des fonctions (principe FONDAMENTAL du contrôle interne) Garantie sur la compétence et la moralité des individus recrutés Opérer la rotation des individus sur les postes Action de formation sur la sécurité

37 Mesures de sécurité Assurance Infogérance de la sécurité
Couverture des risques classiques (incendie, dégâts des eaux…) Couvertures des pertes d’exploitation, des frais de reconstitution d’information Infogérance de la sécurité Transfert du risque à une société spécialisée

38 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

39 Il s’agit des communications et échanges réalisés avec l’extérieur
Client Fournisseurs Sous traitant Administration Filiales ou autres sites

40 Mesures de sécurité VPN  prestataire
PKI (public key infrastructure) : Structure (matériel + logiciel + homme et/ou prestataire extérieur) qui gère le cryptage, le décryptage et la signature électronique des informations échangés via un réseau de communication (cf ci-dessous)

41 Dans les échanges il y a un double besoin :
Besoin de confidentialité sur le réseau UTILISATION DU CHIFFREMENT Besoin d’intégrité du message et de garantie de l’émetteur (le message est bien celui d’origine et a été envoyé par la vraie personne) UTILISATION DE LA SIGNATURE ELECTRONIQUE

42 La signature électronique
Elle a un double objectif S’assurer que le message ou le document n’a pas été modifié en cours de route S’assurer que celui qui l’envoie est bien celui qui en est l’auteur

43 La signature électronique
Pour cela on utilise : Une fonction de hachage : fonction mathématique sera appliquée au contenu du document et va créer une chaîne de caractère unique  le haché (ou condensé) Un logiciel de chiffrement qui génère Une clé privé qui chiffre (qui code) Une clé publique qui déchiffre (qui décode)

44 1) une empreinte est générée par hachage en utilisant l'algorithme SHA-1 ou MD5, le plus utilisé étant SHA-1. Cette empreinte est ensuite cryptée avec la clé privée de signature (on obtient alors un sceau). 2) on joint au message l'empreinte codée et la clé publique de signature permettant de déchiffrer l’empreinte codée.

45 3) le destinataire décode l'empreinte avec la clé publique de signature. Cette opération permet de s'assurer de l'identité de l'expéditeur. (si le décodage fonctionne c’est que la clé publique dans le message et la clé privée qui a crypté les données proviennent de la même origine)

46 4) ensuite le destinataire génère une empreinte à partir de message reçu en utilisant le même algorithme de hachage. Si les deux empreintes sont identiques, cela signifie que le message n'a pas été modifié. Donc la signature vérifie bien l'intégrité du message ainsi que l'identité de l'expéditeur. Exemples d'algorithme de signature: RSA,DSA

47 Ce procédé de création de sceau :
 SCELLEMENT DE DONNEES

48 Clé privé :code Clé publique :décode
Source : site web « comment ca marche »

49 La signature électronique
certains logiciels de messagerie peuvent créer une signature électronique La PKI gère la signature électronique de façon transparente pour l’utilisateur

50 Dans ce qu’on vient de voir : Les messages circulent en clair sur les réseaux (donc sont lisibles)
NECESSITE DE LES RENDRE ILLISIBLES  CHIFFREMENT

51 Le chiffrement par clé publique et privée
Un logiciel de chiffrement génère 2 clés (2 algorithmes mathématiques) qui sont liées l’une à l’autre : l’une qui code est publique (diffusée à tout le monde) et l’autre qui décode est privée (confidentielle et conservée par l’entreprise) ; Inverse de la signature L’émetteur du message dispose de la clé publique ; le message est ensuite codée grâce à la clé publique qui présente la particularité de ne pouvoir être décodée seulement par la clé privée

52 Le chiffrement (ou scellement des données) par clé publique et privée
Remarque Il est impossible de déduire la clé privée à partir de la clé publique

53 CHIFFREMENT Certificats Clé Publ : code DESTINATAIRE Clé Priv : décode
EMETTEUR ROUGE : CLE PRIVEE qui décode; JAUNE : CLE PUBLIQUE qui code

54 PROBLEME ? Si un pirate détourne la clé publique et fournit la sienne à la place ? Décoder vos messages !!!!! UTILISATION DE CERTIFICATS !

55 Le certificat de sécurité
Certificat de sécurité : Document informatique qui sert à faire transiter la clé publique d’une organisation vers un utilisateur. A quoi il sert ? : Il permet d’assurer que la clé publique que l’on se procure est bien celle du destinataire à qui on veut envoyer un message. Il permet d'associer une clé publique à une entité (une personne, une machine, ...) afin d'en assurer la validité. Le certificat est en quelque sorte la carte d'identité de la clé publique, Le certificat de toute organisation est délivré par une autorité de certification (CA)

56 Le certificat (suite) L'autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalent à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire).

57 Le certificat (suite) Les informations sur l’organisme + la clé publique de cet organisme = contenu du certificat Ce contenu est signé par l’autorité de certification (selon le procédé de la signature numérique vu ci-dessus) et est envoyé à celui qui veut communiquer avec l’organisme

58 Exemple : déclaration d’IR
L’utilisateur qui veut envoyer sa déclaration d’IR est mis en contact avec l’autorité de certification Se procure auprès de cette autorité le certificat signé correspondant à l’administration fiscale et la clé publique de signature (qui décode) de l’autorité de certification

59 Le certificat (suite) Déchiffre le certificat grâce à la clé publique de l’autorité de certification Obtient le certificat et son haché et compare le tout au haché qu’il calcule lui même afin de s’assurer que c’est bien l’autorité de certification qui lui envoie le certificat

60 Le certificat (suite) Quand la vérification est effectuée il utilise alors la clé publique qui code (du trésor public) fourni par le certificat pour chiffrer ses données (préalablement signées électroniquement le cas échéant mais pas nécessairement) Envoi ses données (sa déclaration)

61 La confidentialité du message est préservée par le chiffrement
l’intégrité et l’émetteur du message sont validés par la signature électronique

62 PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour des entités généralement dans un réseau. Elle offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité, l'authentification, l'intégrité et la non répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur. Une infrastructure PKI fournit donc quatre services principaux:

63 - fabrication de bi-clés.
certification de clé publique et publication de certificats. Révocation de certificats. - Gestion de la fonction de certification.

64 Quelques protocoles de sécurité
SSL : sécurité des échanges sur le net SET : basé sur SSL ; met en jeu l’acheteur, le vendeur et leur banques respectives S/MIME : signature électronique dans les logiciels de messagerie.

65 Les objectifs du chapitre sont ils atteints ?
Comprendre l’aspect global de la sécurité des SI Savoir ce qu’est un plan de secours Connaître les bases de la sécurité physique et logique Connaître quelques mesures de sécurité

Télécharger ppt "Chapitre 8 : La sécurité dans les SI"

Présentations similaires

Mais vous comprenez qu’il s’agit d’une « tromperie ».

Mais vous comprenez qu’il s’agit d’une « tromperie ».
Le Nom L’adjectif Le verbe Objectif: Orthogram

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Licence pro MPCQ : Cours

Licence pro MPCQ : Cours
Additions soustractions

Additions soustractions
Distance inter-locuteur

Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août 2007 www.cornil.com.

1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
État de l’art de la sécurité informatique

État de l’art de la sécurité informatique
Les systèmes d’informations documentaires et les ENT Éléments de cahier des charges pour les projets nouveaux.

Les systèmes d’informations documentaires et les ENT Éléments de cahier des charges pour les projets nouveaux.
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
Les identités remarquables

Les identités remarquables
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.

LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
Chapitre 8 : La sécurité dans les SI

Chapitre 8 : La sécurité dans les SI
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.

User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
La législation formation, les aides des pouvoirs publics

La législation formation, les aides des pouvoirs publics
1 7 Langues niveaux débutant à avancé. 2 Allemand.

1 7 Langues niveaux débutant à avancé. 2 Allemand.

Présentations similaires

Annonces Google