SlideShare ist ein Scribd-Unternehmen logo

La_sécurité_des_systèmes_d-_information.ppt

Als PPT, PDF herunterladen
C
ChloLau

La_sécurité_des_systèmes_d-_information. cours de cryptographie

Technologie
1 von 49
La Sécurité Des Systèmes d’Information Plan
Copyright Plan  Introduction  Concepts et Technologies  Politique de Sécurité des Systèmes d’Information  Cas Pratiques
La Sécurité Des Systèmes d’Information Introduction
Copyright Définition  Sécurité des SI=  Protéger les biens et informations les plus précieuses pour l’entreprise
Copyright La Sécurité des SI  Critères d’évaluation:  Disponibilité  Intégrité  Confidentialité  Traçabilité
Copyright Introduction  Les risques  Les objectifs  Définition
Copyright Les Risques  Mesurés par la combinaison d’une menace et des pertes qu’elles pourraient engendrées  Plusieurs éléments:  Méthode d’attaque  Éléments menaçants  Vulnérabilités des entités
Copyright Les Risques  Attaque passive  Attaque active  Usurpation  Répudiation  Intrusion
Copyright Les Objectifs  Protéger les données stockées ou en transit sur le réseau contre :  modification (destruction) non autorisée  utilisation frauduleuse  divulgation non autorisée  Sécuriser l’accès aux systèmes, services et données par :  vérification de l’identité déclinée par le requérant  gestion des droits d’accès et des autorisations
Sécurité des Systèmes d’Information Concepts et Technologies
Copyright Cryptographie  Ensemble des techniques permettant de crypter / décrypter des messages  Crypter : brouiller l’information, la rendre “incompréhensible”  Décrypter : rendre le message compréhensible Emetteur Destinataire Message clair #¨^%!! §§ $ ££-@ Message clair encryption décryption
Copyright Cryptographie: Clé Symétrique  Même clé pour chiffrer et déchiffrer  Avantages :  facile à implémenter  rapide
Copyright Cryptographie: Clé Asymétrique  Chaque communicant possède une paire de clés associées : clé publique Kpb et clé privée Kpv  Un message chiffré par l’une des clés  ne peut pas être déchiffré par cette même clé  mais peut être déchiffré par l’autre clé de la paire
Copyright Cryptographie  La clé privée doit être conservée par son propriétaire  Rien n’impose de la dévoiler à qui que ce soit  La clé publique est diffusée sans restriction  idéalement avec un niveau de diffusion comparable à l’annuaire téléphonique  Aucun moyen pratique de déduire l’une des clés de la connaissance de l’autre clé
Copyright Cryptographie : Avantages  Message chiffré avec la clé publique • seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité • le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous
Copyright Cryptographie : Avantages  Message chiffré avec la clé privée • altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité • pas de confidentialité : la clé publique peut être utilisée par tous pour lire • la clé privée dévoile l’identité de l’expéditeur • propriétaire de la clé privée
Copyright Cryptographie : Inconvénients  Algorithmes complexes et difficiles à implémenter  Peu performant : long et gourmand en CPU •  1000 plus lents que les algorithmes à clés symétriques  Moins sûrs contre les attaques de « force brute » • nécessite des clés plus longues que les algorithmes symétriques
Copyright Cryptographie: le Hashage  Calcule un « condensé significatif » de taille fixe, quelque soit la taille d’origine  irréversible : transformation inverse impossible  déterministe : le même message produit le même résumé effets imprévisibles L’intégrité du résumé significatif est une garantie de l’intégrité du document d’origine c’est une « empreinte digitale » du document
Copyright Signature Electronique  Propriétés :  Ne peut être créée indépendamment  Sa validité peut être vérifiée par tous • la clé publique est accessible librement • les algorithmes utilisés sont connus  Elle révèle toute altération, frauduleuse ou accidentelle  Falsification en principe impossible • non-répudiation
Copyright PKI (Public Key Infrastructure)  Ensemble des solutions techniques basées sur la cryptographie à clé publique  Canal sécurisé inutile  tiers de confiance CA  Signe clé publique  Assure véracité des informations
Copyright PKI  Confiance directe  Modèle simple de confiance, l’utilisateur a confiance dans la validité de la clé car il sait d’où elle vient.  Confiance hiérarchique ou “arbre” de confiance  Le certificat est vérifié jusqu’à ce que le certificat de type root soit trouvé.  Confiance décentralisée ou en réseau  Cumule des deux modèles.
Copyright  Complète les techniques de cryptographie par :  Les contrôles d’accès réseau (machines, serveurs) • sur les paramètres utilisés pour l’établissement des communications : adresses et ports, sens de la connexion • FIREWALL Solutions et Dispositifs de Sécurisation : Sécurité Architecturale
Copyright Solutions et Dispositifs de Sécurisation : Sécurité Architecturale  Des contrôles plus fins (et plus lourds) au niveau du flot de données émis ou reçu par une application • serveur PROXY entre des clients et une application : exemple WEB proxy entre les browsers et le serveur WEB • SAS applicatifs spécialisés pour certaines applications : serveurs FTP ou Telnet (proxy FTP, proxy Telnet)
Copyright  Principaux standards :  S/MIME (Secured Multipurpose Internet Mail Extensions) • chiffrement et signature digitale (authentification et confidentialité) des messages électroniques et documents attachés au format MIME • extension du standard d’interopérabilité MIME Solutions et dispositifs de sécurisation : Sécurité off-line
Copyright Solutions et dispositifs de sécurisation : Sécurité off-line  PGP (Pretty Good Privacy) • système de cryptographie hybride (clés symétriques et asymétriques) • les données sont compressées puis chiffrées pour économiser l’espace disque. • chaque utilisateur est sa propre autorité de certification  XML (eXtensible Markup Language) Signature  XML Encryption
Copyright  Protections assurées  attaque passive  attaque active  usurpation (émetteur)  répudiation (émetteur)  protection de bout en bout  Protections non assurées  usurpation (récepteur)  intrusion  répudiation (récepteur) Solutions et dispositifs de sécurisation : Sécurité off-line
Copyright  Principaux protocoles :  SSL/TLS (Secured Socket Layer/ Transport Layer Security)  SSH (Secured SHell)  Protections assurées  attaque passive  attaque active  usurpation  Intrusion  Protections non assurées  répudiation  protection de bout en bout Solutions et dispositifs de sécurisation : Sécurité de transport
La Sécurité des Systèmes d’Information Politique de Sécurité des Systèmes d’Information (PSSI)
Copyright Définition Ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l’organisme.
Copyright Principales étapes  Audit  Elaboration des règles  Surveillance  Actions
Copyright Audit  Identifier / Classer les risques et leurs menaces:  Quels sont les risques ?  Quelle en est la probabilité ?  Quels sont leurs impacts ?  Identifier les besoins :  État des lieux du SI
Copyright Les risques  Répertoriés les risques encourus  Estimer leur probabilité:  Faible: menace peu de chance de se produire  Moyenne: la menace est réelle  Haute: la menace a de très grande chance de se produire  Etudier leur impact (coût des dommages)
Copyright Elaboration de règles  Règles et procédures pour répondre aux risques  Allouer les moyens nécessaires
Copyright Surveillance  Détecter les vulnérabilités du SI  Se tenir informé des failles  Etre réactifs …
Copyright Les Cibles des Failles de la Sécurité  R&D  Services financiers  Marketing  Réseaux de vente (! Distributeurs et clients trop bavards)  Le service achat  Le Personnel: sensibiliser l’ensemble du personnel, attention aux licenciés, mécontents …
Copyright Actions  Définir les actions à entreprendre  Et les personnes à contacter en cas de menace
Copyright Actions  Simples à mettre en œuvre et pourtant pas toujours existantes !  Entrées et sorties contrôlées  Surveiller et piéger les BD dans entreprise  Méfiance au téléphone …
Copyright Acteurs & Rôles Pourquoi ? Quoi Qui ? Quand ? Comment ? Direction Générale Responsable SSI Responsable Fonctionnel Responsable Projet CHARTES REGLES GENERALES PROCESSUS & CONTROLES PROCEDURES OPTIONNELLES
Copyright Thèmes  Classification et contrôle du patrimoine matériel et immatériel  Rôle des personnes  Protection des locaux et équipements  Contrôle des accès et gestion des habilitations  Gestion des communications et des opérations  Développement et maintenance des systèmes d’information  Continuité des activités  Obligations légales
Copyright Réussite PSSI  Etre simple et réaliste pour que tout le monde la comprenne et puisse la respecter  Faire vivre
Copyright Stratégie  PSSI doit faire partie intégrante de la stratégie de la société :  défaut de sécurité coûte cher !  Inclure une notion générale de la sécurité reposant sur 4 points:  Protection des applicatifs aux métiers du SI qualifiés de sensible  Diminution des vulnérabilités  Sécurité proprement dite du SI  Continuité en cas de sinistre
Copyright Normes et Méthodes  Normes = bonnes pratiques  Méthodes = évaluation globale du SI en terme de:  Risques  Protection
Copyright Normes  ISO 27 001:  Approche processus (PDCA)  133 mesures base dans l’élaboration du plan  ISO 17 799: découpage par thèmes
Copyright Méthodes  Démarche structurée  Obtenir une partie des éléments stratégiques
Copyright Méthodes  Cobit: Control Objectives for Business and related Techonology  Ebios: Expression des besoins et identification et des objectifs de sécurité  Marion  Mehari: Méthode harmonisée d’analyse des risques
Copyright Ebios  Etude du contexte: éléments essentiels (ensemble d’entités de différents types)  Expression des besoins: critères de sécurité  impact  Etude des menaces: type/cause  Expression des objectifs de sécurité  Détermination des exigences de sécurité
Copyright ISMS (Information Security Management System)  Application au domaine de la sécurité informatique de la roue de Deming Planifier Faire Vérifier (Ré)Agir
Copyright ISMS (Information Security Management System)  Planifier: passer d’une posture réactive à proactive  Faire: développer des processus en suivant un référentiel de sécurité  Contrôler: audits et tests d’intrusion  Agir: analyse des risques des besoins et enjeux
Copyright Cadre juridique  Loi Sarbannes-Oxley  Loi des libertés personnelles

Empfohlen

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Christophe Pekar
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 

Empfohlen

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Formation Securite Informatique AKAOMA Consulting Certification Securite Info...
Formation Securite Informatique AKAOMA Consulting Certification Securite Info...Christophe Pekar
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAbdellah Alahyane
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdfIyadtech
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRITrust - Cybersecurity as a Service
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Lilia Sfaxi
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseHushapp by Syneidis
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 

Weitere ähnliche Inhalte

Ähnlich wie La_sécurité_des_systèmes_d-_information.ppt

Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Lilia Sfaxi
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...IBM France PME-ETI
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseHushapp by Syneidis
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 

Ähnlich wie La_sécurité_des_systèmes_d-_information.ppt (20)

Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1 Sécurité des Systèmes Répartis- Partie 1
Sécurité des Systèmes Répartis- Partie 1
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Protéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entrepriseProtéger les fichiers confidentiels de votre entreprise
Protéger les fichiers confidentiels de votre entreprise
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 

La_sécurité_des_systèmes_d-_information.ppt

  • 2. Copyright Plan  Introduction  Concepts et Technologies  Politique de Sécurité des Systèmes d’Information  Cas Pratiques
  • 4. Copyright Définition  Sécurité des SI=  Protéger les biens et informations les plus précieuses pour l’entreprise
  • 5. Copyright La Sécurité des SI  Critères d’évaluation:  Disponibilité  Intégrité  Confidentialité  Traçabilité
  • 6. Copyright Introduction  Les risques  Les objectifs  Définition
  • 7. Copyright Les Risques  Mesurés par la combinaison d’une menace et des pertes qu’elles pourraient engendrées  Plusieurs éléments:  Méthode d’attaque  Éléments menaçants  Vulnérabilités des entités
  • 8. Copyright Les Risques  Attaque passive  Attaque active  Usurpation  Répudiation  Intrusion
  • 9. Copyright Les Objectifs  Protéger les données stockées ou en transit sur le réseau contre :  modification (destruction) non autorisée  utilisation frauduleuse  divulgation non autorisée  Sécuriser l’accès aux systèmes, services et données par :  vérification de l’identité déclinée par le requérant  gestion des droits d’accès et des autorisations
  • 11. Copyright Cryptographie  Ensemble des techniques permettant de crypter / décrypter des messages  Crypter : brouiller l’information, la rendre “incompréhensible”  Décrypter : rendre le message compréhensible Emetteur Destinataire Message clair #¨^%!! §§ $ ££-@ Message clair encryption décryption
  • 12. Copyright Cryptographie: Clé Symétrique  Même clé pour chiffrer et déchiffrer  Avantages :  facile à implémenter  rapide
  • 13. Copyright Cryptographie: Clé Asymétrique  Chaque communicant possède une paire de clés associées : clé publique Kpb et clé privée Kpv  Un message chiffré par l’une des clés  ne peut pas être déchiffré par cette même clé  mais peut être déchiffré par l’autre clé de la paire
  • 14. Copyright Cryptographie  La clé privée doit être conservée par son propriétaire  Rien n’impose de la dévoiler à qui que ce soit  La clé publique est diffusée sans restriction  idéalement avec un niveau de diffusion comparable à l’annuaire téléphonique  Aucun moyen pratique de déduire l’une des clés de la connaissance de l’autre clé
  • 15. Copyright Cryptographie : Avantages  Message chiffré avec la clé publique • seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité • le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous
  • 16. Copyright Cryptographie : Avantages  Message chiffré avec la clé privée • altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité • pas de confidentialité : la clé publique peut être utilisée par tous pour lire • la clé privée dévoile l’identité de l’expéditeur • propriétaire de la clé privée
  • 17. Copyright Cryptographie : Inconvénients  Algorithmes complexes et difficiles à implémenter  Peu performant : long et gourmand en CPU •  1000 plus lents que les algorithmes à clés symétriques  Moins sûrs contre les attaques de « force brute » • nécessite des clés plus longues que les algorithmes symétriques
  • 18. Copyright Cryptographie: le Hashage  Calcule un « condensé significatif » de taille fixe, quelque soit la taille d’origine  irréversible : transformation inverse impossible  déterministe : le même message produit le même résumé effets imprévisibles L’intégrité du résumé significatif est une garantie de l’intégrité du document d’origine c’est une « empreinte digitale » du document
  • 19. Copyright Signature Electronique  Propriétés :  Ne peut être créée indépendamment  Sa validité peut être vérifiée par tous • la clé publique est accessible librement • les algorithmes utilisés sont connus  Elle révèle toute altération, frauduleuse ou accidentelle  Falsification en principe impossible • non-répudiation
  • 20. Copyright PKI (Public Key Infrastructure)  Ensemble des solutions techniques basées sur la cryptographie à clé publique  Canal sécurisé inutile  tiers de confiance CA  Signe clé publique  Assure véracité des informations
  • 21. Copyright PKI  Confiance directe  Modèle simple de confiance, l’utilisateur a confiance dans la validité de la clé car il sait d’où elle vient.  Confiance hiérarchique ou “arbre” de confiance  Le certificat est vérifié jusqu’à ce que le certificat de type root soit trouvé.  Confiance décentralisée ou en réseau  Cumule des deux modèles.
  • 22. Copyright  Complète les techniques de cryptographie par :  Les contrôles d’accès réseau (machines, serveurs) • sur les paramètres utilisés pour l’établissement des communications : adresses et ports, sens de la connexion • FIREWALL Solutions et Dispositifs de Sécurisation : Sécurité Architecturale
  • 23. Copyright Solutions et Dispositifs de Sécurisation : Sécurité Architecturale  Des contrôles plus fins (et plus lourds) au niveau du flot de données émis ou reçu par une application • serveur PROXY entre des clients et une application : exemple WEB proxy entre les browsers et le serveur WEB • SAS applicatifs spécialisés pour certaines applications : serveurs FTP ou Telnet (proxy FTP, proxy Telnet)
  • 24. Copyright  Principaux standards :  S/MIME (Secured Multipurpose Internet Mail Extensions) • chiffrement et signature digitale (authentification et confidentialité) des messages électroniques et documents attachés au format MIME • extension du standard d’interopérabilité MIME Solutions et dispositifs de sécurisation : Sécurité off-line
  • 25. Copyright Solutions et dispositifs de sécurisation : Sécurité off-line  PGP (Pretty Good Privacy) • système de cryptographie hybride (clés symétriques et asymétriques) • les données sont compressées puis chiffrées pour économiser l’espace disque. • chaque utilisateur est sa propre autorité de certification  XML (eXtensible Markup Language) Signature  XML Encryption
  • 26. Copyright  Protections assurées  attaque passive  attaque active  usurpation (émetteur)  répudiation (émetteur)  protection de bout en bout  Protections non assurées  usurpation (récepteur)  intrusion  répudiation (récepteur) Solutions et dispositifs de sécurisation : Sécurité off-line
  • 27. Copyright  Principaux protocoles :  SSL/TLS (Secured Socket Layer/ Transport Layer Security)  SSH (Secured SHell)  Protections assurées  attaque passive  attaque active  usurpation  Intrusion  Protections non assurées  répudiation  protection de bout en bout Solutions et dispositifs de sécurisation : Sécurité de transport
  • 28. La Sécurité des Systèmes d’Information Politique de Sécurité des Systèmes d’Information (PSSI)
  • 29. Copyright Définition Ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l’organisme.
  • 30. Copyright Principales étapes  Audit  Elaboration des règles  Surveillance  Actions
  • 31. Copyright Audit  Identifier / Classer les risques et leurs menaces:  Quels sont les risques ?  Quelle en est la probabilité ?  Quels sont leurs impacts ?  Identifier les besoins :  État des lieux du SI
  • 32. Copyright Les risques  Répertoriés les risques encourus  Estimer leur probabilité:  Faible: menace peu de chance de se produire  Moyenne: la menace est réelle  Haute: la menace a de très grande chance de se produire  Etudier leur impact (coût des dommages)
  • 33. Copyright Elaboration de règles  Règles et procédures pour répondre aux risques  Allouer les moyens nécessaires
  • 34. Copyright Surveillance  Détecter les vulnérabilités du SI  Se tenir informé des failles  Etre réactifs …
  • 35. Copyright Les Cibles des Failles de la Sécurité  R&D  Services financiers  Marketing  Réseaux de vente (! Distributeurs et clients trop bavards)  Le service achat  Le Personnel: sensibiliser l’ensemble du personnel, attention aux licenciés, mécontents …
  • 36. Copyright Actions  Définir les actions à entreprendre  Et les personnes à contacter en cas de menace
  • 37. Copyright Actions  Simples à mettre en œuvre et pourtant pas toujours existantes !  Entrées et sorties contrôlées  Surveiller et piéger les BD dans entreprise  Méfiance au téléphone …
  • 38. Copyright Acteurs & Rôles Pourquoi ? Quoi Qui ? Quand ? Comment ? Direction Générale Responsable SSI Responsable Fonctionnel Responsable Projet CHARTES REGLES GENERALES PROCESSUS & CONTROLES PROCEDURES OPTIONNELLES
  • 39. Copyright Thèmes  Classification et contrôle du patrimoine matériel et immatériel  Rôle des personnes  Protection des locaux et équipements  Contrôle des accès et gestion des habilitations  Gestion des communications et des opérations  Développement et maintenance des systèmes d’information  Continuité des activités  Obligations légales
  • 40. Copyright Réussite PSSI  Etre simple et réaliste pour que tout le monde la comprenne et puisse la respecter  Faire vivre
  • 41. Copyright Stratégie  PSSI doit faire partie intégrante de la stratégie de la société :  défaut de sécurité coûte cher !  Inclure une notion générale de la sécurité reposant sur 4 points:  Protection des applicatifs aux métiers du SI qualifiés de sensible  Diminution des vulnérabilités  Sécurité proprement dite du SI  Continuité en cas de sinistre
  • 42. Copyright Normes et Méthodes  Normes = bonnes pratiques  Méthodes = évaluation globale du SI en terme de:  Risques  Protection
  • 43. Copyright Normes  ISO 27 001:  Approche processus (PDCA)  133 mesures base dans l’élaboration du plan  ISO 17 799: découpage par thèmes
  • 44. Copyright Méthodes  Démarche structurée  Obtenir une partie des éléments stratégiques
  • 45. Copyright Méthodes  Cobit: Control Objectives for Business and related Techonology  Ebios: Expression des besoins et identification et des objectifs de sécurité  Marion  Mehari: Méthode harmonisée d’analyse des risques
  • 46. Copyright Ebios  Etude du contexte: éléments essentiels (ensemble d’entités de différents types)  Expression des besoins: critères de sécurité  impact  Etude des menaces: type/cause  Expression des objectifs de sécurité  Détermination des exigences de sécurité
  • 47. Copyright ISMS (Information Security Management System)  Application au domaine de la sécurité informatique de la roue de Deming Planifier Faire Vérifier (Ré)Agir
  • 48. Copyright ISMS (Information Security Management System)  Planifier: passer d’une posture réactive à proactive  Faire: développer des processus en suivant un référentiel de sécurité  Contrôler: audits et tests d’intrusion  Agir: analyse des risques des besoins et enjeux
  • 49. Copyright Cadre juridique  Loi Sarbannes-Oxley  Loi des libertés personnelles