Sécurité Informatique- Chapitre1 2425 (1).pptx
Document Details
Uploaded by Deleted User
Full Transcript
Chapitre 1 es notions de base de la sécurité informatique 2024-2025 Plan du chapitre ▪ Définition de la sécurité informatique ▪ Les enjeux de la sécurité informatique ▪ Les métiers de la sécurité informatique ▪ Les services de la sécurité informatique: C...
Chapitre 1 es notions de base de la sécurité informatique 2024-2025 Plan du chapitre ▪ Définition de la sécurité informatique ▪ Les enjeux de la sécurité informatique ▪ Les métiers de la sécurité informatique ▪ Les services de la sécurité informatique: Confidentialité/Intégrité/Disponibilité/Preuve ▪ Terminologies de la sécurité informatique : Vulnérabilité, menace/agent de menace, risque, impact, contre- mesure. ▪ Règles de base de la sécurité informatique 2 Préambule (1/2) Sécurité informatique: Ensemble des moyens techniques, pratiques et humains destinés à protéger les systèmes informatiques, les réseaux et les données contre les accès non autorisés, les dommages les vols, etc… Système d’information Ensemble structuré de ressources qui permet de collecter, stocker, traiter, diffuser et distribuer l’information dans une organisation. Matérielles Logicielles Ressources Humaines Des données Des procédures Préambule (2/2) Le système d’information d’une organisation contient un ensemble d’actifs : La sécurité du S.I. consiste donc à assurer la sécurité de 4 Les enjeux de la sécurité informatique □ Réduire les risques pesant sur le système d’information, pour limiter leurs impacts sur le fonctionnement et les activités métiers des organisations… □ Les principaux objectifs de la sécurité informatique: empêcher la divulgation non-autorisée de données empêcher la modification non-autorisée de données empêcher l'utilisation non-autorisée des ressources réseau ou informatiques de façon générale □ La gestion de la sécurité au sein d’un système d’information n’a pas pour objectif de faire de l’obstruction. Au contraire : Elle contribue à la qualité de service que les utilisateurs sont en droit d’attendre 6 Elle garantit au personnel le niveau de protection qu’ils sont en droit Pourquoi les pirates s’intéressent aux S.I? Les motivations évoluent Années 80 et 90 : beaucoup de "bidouilleurs enthousiastes" De nos jours : majoritairement des actions Cyber délinquance organisées et réfléchies Les individus attirés par l’appât du gain Les « hacktivistes » Motivation politique, religieuse, etc. Les concurrents directs de l’organisation visée Les fonctionnaires au service d‘un état Les mercenaires agissant pour le compte de commanditaires 7 Pourquoi les pirates s’intéressent aux S.I? ▪ Gains financiers (accès à l’information, puis monétisation et revente) Utilisateurs, emails Organisation interne de l’entreprise Fichiers clients Mots de passe, N° de comptes bancaire, cartes bancaires ▪ Utilisation de ressources (puis revente ou mise à disposition en tant que service ) Bande passante & espace de stockage (hébergement de musique, films et autres contenus) Zombies (botnets) d’intrus est particulièrement dangereux par sa 8 ▪ Chantage/Vengeance connaissance intime du SI. Pourquoi les pirates s’intéressent aux S.I? ( ▪ Publicité Un intrus peut attaquer un réseau ou une application pour se faire connaître auprès du public ou pour se faire de la publicité pour ses propres services. Les intrus à la recherche de publicité font souvent état de leurs attaques. ▪ Espionnage Un intrus peut espionner une organisation ou un gouvernement afin d’obtenir des secrets. Ce type d’intrus est souvent motivé par le patriotisme ou l’appât du gain. ▪ Terrorisme. Un intrus peut attaquer un réseau dans le cadre d’une opération de terrorisme d’état ou émanant d’un groupe. Il s’agit des types d’intrus les plus graves car il se peut que des vies humaines soient alors en danger. Les intrus, quelles que soient leurs aptitudes et leurs Impacts de la Sécurité Informatique (1/2) 1 0 Impacts de la Sécurité Informatique (2/2) ▪ Impact sur l’image / le caractère/ la vie privée Diffamation / Harcèlement Divulgation d’informations personnelles ▪ Usurpation d’identité « Vol » et réutilisation de logins/mots de passe pour effectuer des actions au nom de la victime. ▪ Impacts financiers N° carte bancaire usurpé et réutilisé pour des achats en ligne Chantage (divulgation de photos ou d’informations compromettantes si non paiement d’une rançon). ▪ Perte définitive de données Malware récents (rançongiciel) qui chiffre les données personnelles puis demande à leur propriétaire de payer une rançon contre en Les services de la sécurité DIC Disponibilité: Propriété d'accessibilité D au moment voulu des biens par les personnes. Intégrité: Propriété d'exactitude et de C I complétude des biens et informations (i.e. une modification illégitime d’un bien doit pouvoir être détectée et corrigée) Confidentialité: Propriété des biens de 1 3 Objectifs complémentaires Preuve/traçabilité: Propriété d'un bien permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue. Cette propriété englobe notamment : - Authentification: Avoir l’assurance de l’identité d’une personne (ou d’un serveur) dans le SI. - Non répudiation: C’est le critère qui permet qu’une entité ne puisse pas nier ses actions dans le SI. Exemple: Avoir l’assurance que l’expéditeur d’un document ne puisse nier l’avoir envoyé ou que le destinataire ne puisse nier l’avoir reçu - Horodatage: Avoir l’assurance de la date et l’heure de l’exécution d’une action (envoi, réception, signature, …) sur un document 1 4 Exemple d’évaluation DICP Auditer le niveau de Evaluer Déterminer si Disponibilité, ces ce bien Intégrité, critères sur une est Confidentialité et de Preuve échelle correctemen pour le bien t sécurisé. L’expression du besoin attendu peut-être d’origine Interne : inhérente au métier de l’entreprise externe : issue des contraintes légales qui pèsent sur les biens de l’entreprise. Niveau de Disponibilité du Très Exemple fort bien Niveau d’Intégrité du Moye bien Niveau de n Très Niveau de Preuve Confidentialité du bien Faible du bien fort Le bien bénéficie d’un niveau de sécurité adéquat Actions de Sécurité à mettre en place Un Système d’Information a besoin ont de mécanismes de sécurité qui objectif pour d’assurer de garantir les propriétés DICP sur les biens deTechniques ce S.I. : les solutions matérielles et logicielles Antivirus,Antispam ,FW, contrôleur d’accès, etc. Humains Direction informatique: Assure le bon fonctionnement des applications, contrôler les accès Etablissement de la politique et 1 Organisationnels 7 Mécanismes de Sécurité pour atteindre les besoins DICP (1/2) Exemples de mécanismes de sécurité D I C Mécanisme technique permettant de détecter toute P Anti-virus attaque ✔ ✔ ✔ virale qui a déjà été identifiée par la communauté sécurité Cryptographie Mécanisme permettant d’implémenter du chiffrement et des signatures électroniques ✔ ✔ Équipement permettant d’isoler des zones réseaux ✔ Pare-feu entre-elles ✔ ✔ et de n’autoriser le passage que de certains flux seulement Contrôles d’accès Mécanismes de l’accès permettant restreindre aux en logiques lecture/écriture/suppress aux seules ✔ ✔ ion personnes dument ressources Sécurité physique des habilitées ✔ Mécanismes de protection destinés à protéger équipements et l’intégrité physique du matériel et des ✔ ✔ ✔ bâtiments/bureaux. locaux Mécanismes de Sécurité pour atteindre les besoins DICP (2/2) D I C Capacité d’audit Mécanisme organisationnels destinés à P s s’assurer de l’efficacité et de la pertinence des mesures mises en ✔ ✔ ✔ œuvre. Participe à l’amélioration ✔ Clauses continue Mécanismes de la organisationnels sécurité du S.I. destinés contractuelles s à’assurer que les partenaires et ✔ mettent en œuvre les mesures nécessaires prestataires ✔ ✔ ✔ avec les pour ne pas impacter la sécurité des partenaires S.I. de leurs clients Formation et Mécanismes organisationnels dont sensibilisation d’expliquer l’objectif estaux utilisateurs, administrateurs, techniciens, PDG, clients, grand public, ✔ ✔ ✔ etc. en quoi leurs actions affectent la ✔ sécurité des S.I. Diffusion des bonnes pratiques de sécurité. Le cours actuel en est une illustration ! Terminologies de la sécurité Vulnérabili Menace té Impact Contremesu re 2 1 Vulnérabilités ▶ Des failles ou faiblesses dans un SI. ▶ Sont les conséquences de faiblesses de conception, de mise en œuvre ou d'utilisation d'un composant matériel ou logiciel du SI ▶ Il s'agit souvent d'anomalies logicielles liées à des erreurs de programmation ou à des mauvaises pratiques. ▶ Un attaquant exploite une vulnérabilité pour porter atteinte à la confidentialité, à l’intégrité ou au fonctionnement du système ciblé. ▶ La procédure d’exploitation d’une vulnérabilité logicielle s’appelle exploit. ▶ Une fois découvertes, ces vulnérabilité doivent être corrigées à travers des correctifs publié par les éditeurs du logiciel. Les principales causes des Types devulnérabilités Exemple vulnérab ilité Matériel Maintenance insuffisante, absence de programme de remplacement périodique Logiciel Tests de logiciel absents ou insuffisants, interface utilisateur compliquée Réseau Connexions au réseau public non protégées, point de défaillance unique Personnel Formation insuffisante à la sécurité, travail non surveillé d’une équipe extérieure ou de l’équipe d’entretien Site Réseau électrique instable, emplacement situé dans une zone sujette aux inondations Organisme Absence de bonne attribution des responsabilités en sécurité de l’information, absence de responsabilités en sécurité de l’information dans les descriptions de postes 2 Vulnérabilit 2 2 4 La menace (1) Cause potentielle d’un incident, qui pourrait entrainer des dommages sur un bien si cette menace se concrétisait. 2 5 La menace (2) Cause potentielle d’un incident indésirable, qui peut nuire à un système ou à un organisme. Une menace est susceptible d’endommager les actifs tels que des informations, des processus et des systèmes et, par conséquent, des organismes. Les menaces peuvent être d’origine naturelle ou humaine et peuvent être accidentelles ou délibérées. Il convient d’identifier les sources de menaces à la fois accidentelles et délibérées Impact Changement négatif pénalisant le niveau des objets métier atteints Déficience des performance Interruption d’un service La disponibilité Inaccessibilité à un service Interruption de fonctionnement Atteinte à la vie privée des usagers ou des clients Impact La Atteinte à la vie privée du personnel de confidentialité l’organisme Fuite d’information confidentielle sur Modification accidentelle Modification délibérée L’intégrité Résultats incorrects Résultats incomplets Perte de données Relation vulnérabilité-menace- impact Vulnérabilité Menace Impact Entrepôt sans Vol d’équipement Pertes financière surveillance Interface utilisateur Erreur de saisi de Base de données compliquée données corrompue Ligne de Ecoute électronique Interception des communication communications non protégée Transfert des mots Hacker Vol d’information de passe en clair Absence de Corruption des Documentation processus de données obsolète gestion des documents Sensibilité à l’humidité Corrosion Echec de l’équipement Les Risques (1/2) □ Combinaison d'une menace et des pertes qu'elle peut engendrer □ La potentialité de l'exploitation de vulnérabilité par un élément menaçant et son impact sur l'organisme. □ Utile pour évaluer la probabilité d’un type d’incident donné □ Afin de réduire le danger à des niveaux acceptables, c’est-à- dire pour assurer la protection, il faut: □ Réduire les menaces □ Réduire les facteurs de vulnérabilité, □ Augmenter les capacités de protection. 2 7 Les Risques - Classification (1/2) Vital : La nature du risque peut mettre en cause la survie de l’entreprise Critique : La nature du risque peut affecter durablement les performances économiques de l’entreprise Sensible : La nature du risque peut affecter l’entreprise de manière non négligeable même si limitée dans le temps. Non critique Risques : coût lié au risque existant mais limité humains La maladresse: erreurs, action non souhaitée, effacement involontaire des données, … L’ignorance: introduire des programmes malveillants sans faire attention La malveillance: introduire des virus, ajouter des fonctions cachées, … 1 cybercriminalité L’ingénierie social: informations personnelles confidentielles pour des fins suspectes L’espionnage Risques logistiques Défauts et pannes de fabrication Panne matérielle Défaut du logiciel: système d’exploitation, programmes, etc. Environnement de travail: variation de la température ou l’humidité, exposition aux 2 champs électriques et magnétiques 8 Les attaques informatiques Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une attaque représente la concrétisation d’une menace, et nécessite l’exploitation d’une vulnérabilité. Une attaque ne peut donc avoir lieu (et réussir) que si le bien est affecté par une vulnérabilité Ainsi, tout le travail des experts sécurité consiste à s’assurer que le S.I. ne possède aucune vulnérabilité. Dans la réalité, l’objectif est en fait d’être en mesure 29 3 2 Attaque par logiciel malveillant Le(1) virus se duplique automatiquement sur le même dispositif et se transmet à un autre dispositif par l'intermédiaire du courrier électronique ou par l'échange de données Le ver (worm) exploite des communications réseaux d'une entité afin d'assurer sa reproduction sur d'autres dispositifs Le cheval de Troie (trojan) a une apparence légitime et exécute des routines nuisibles sans l'autorisation de l'utilisateur La porte dérobée (backdoor) permet d'ouvrir 3 3 Attaque par logiciel malveillant (2) Le logiciel espion (spyware) fait la collecte d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation et les transmet à un ordinateur tiers L'enregistreur de frappe (keylogger) est généralement invisible, installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier L'exploit permet d'exploiter une faille de sécurité d'un logiciel Le rootkit est un ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par 3 4 Attaque par messagerie électronique Le pourriel (spam) est un courrier électronique non sollicité (publicité) qui encombre le réseau, et fait perdre du temps aux destinataires L'hameçonnage (phishing) est un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles Le canular informatique (hoax) est un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Il encombre le réseau et incite l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier 3 5 Attaque par mise en réseau les écoutes (sniffing) permettent de récupérer toutes les informations transitant sur un réseau (par un logiciel sniffer) □ récupérer les mots de passe des applications et identifier les machines communiquant sur le réseau. L'usurpation d'identité (spoofing) prend l'identité d'une autre personne ou d'une autre machine pour collecter des données sensibles, confidentielles, … Le déni de service (denial of service) provoque des interruptions de service pour empêcher le bon fonctionnement d’un système 1 Des tentatives d'extorsion de fond : menacer de stopper l'activité d'une entreprise. 3 6 Les contre-mesures (1) Une sécurité en couches, plus difficile à Superpositi percer, résister à une variété on d’attaques Limitati Autorisation requise pour l’accès on (limité, réduit). Différenciation des couches de sécurité Diversi 1différentiation des outils d’attaque té Violation d'une couche de sécurité ≠ ensemble du SI. Obscuri Limiter les informations té concernant un SI 3 7 Les contre- mesures Objectif d’une mesure de sécurité: déclaration décrivant Mesure ce qui est attendu de la mise en œuvre des mesures de administrat sécurité ive Mesure de sécurité: Mesure qui modifie un risque Mesur Mesur Les mesures de sécurité comprennent tous e les e processus, politiques, dispositifs, pratiques ou autres actions mana qui modifient un risque techn gé i- Mesure Dissuader ou prévenir l’apparition de -riale ques préventi problèmes ve Mesure Mesur Rechercher, détecter et identifier les de anomalies e détectio juridiq Mesure n Remédier aux problèmes découverts et prévenir correctiv la répétition des anomalies ue es 3 8 Relation entre concepts de sécurité Règles de base de la sécurité: Méthodologie 1. Identifier la menace Qui ou quoi / Comment (vulnérabilités) ? 2. Évaluer les risques et les vulnérabilités Probabilité / Impact 3.Considérer les mesures de protection par rapport au risque Efficacité / Coût / Difficulté d'utilisation 4. Mettre en place et opérer les mesures de protections Modification et/ou installation 3 9 Règles de base Interdiction par Tout ce qui n’est pas autorisé explicitement défaut est interdit Moindre N’autoriser que le strict privilège nécessaire Défense Protection au plus tôt et à tous les en niveaux profonde Défenses en ur série Goulet Point de sortie unique permettant le d’étranglement contrôle Simplici Filtrage le plus simple té possible Concertati Acceptation des contraintes par on utilisateurs 4 0 Fin du Fin du chapitre chapitre