Chapitre I

Introduction la Scurit Informatique

 Terminologie de la SI
Scurit informatique: l'ensemble des techniques qui sassurent que les
ressources du systme d'information (matrielles ou logicielles) d'une organisation
sont utilises uniquement dans le cadre o il est prvu qu'elles le soient.

Scurit :
Confidentialit = Accs au systme ou aux donnes est limit aux parties
autorises
Intgrit = avoir la bonne donne au moment voulu
Disponibilit (Availability) = Le systme ou les donnes sont l au moment
voulu

Objectif : assurer la continuit des activits de lentreprise et de minimiser les

risques de dommages en prvenant et en rduisant les impacts des incidents de
scurit.

Actif (Asset) : ressource protger

Matriel/logiciel/donne
Vulnrabilit : faiblesse= faille = brche = niveau d'exposition face la menace
dans un contexte particulier.
 Terminologie de la SI
Menace (Threat) : Action susceptible de nuire dans l'absolu.
source du risque (Ce que peut faire le pirate )
cible un ou plusieurs actifs grandes catgories:
1. Interception
2. Interruption
3. Falsification (modification)
4. Fabrication
5. Rpudiation
6. usurpation
Hypothse de conception: Threat model = ensemble des menaces prvenir & de qui prvenir

Attaque : action exploitant une vulnrabilit et excutant une menace.

Risque : Une menace associe un ensemble de vulnrabilits qui permettent sa

ralisation

Impact : consquence du risque sur lorganisme et ses objectifs

se mesure par les dommages que peut causer une attaque.
Qualifi en termes de niveau de svrit
 Terminologie de la SI
Attaque: action exploitant une vulnrabilit et excutant une menace.
Contrle du risque
Suppression ou rduction dune vulnrabilit
Contrler une vulnrabilit pour prvenir une attaque et bloquer une menace

Donc: notre objectif: contrler les vulnrabilits.

Comment?
Prvenir: Prevent it: prevent the attack
Dissuader: Deter it: make the attack harder or more expensive
Dvier: Deflect it: make yourself less attractive to attacker
Dtecter: Detect it: notice that attack is occurring (or has occurred)
Rparer: Recover from it: mitigate the effects of the attack
Dfense en profondeur Defence in depth : plusieurs approches
 Scurit informatique ?
3 proprits:
Confidentialit = accs aux ressources
(systme/data) est limit aux parties autorises.
Intgrit : avoir la bonne
donne/information
Disponibilit: Le systme/donnes fonctionnel
au moment voulu.
 Services de scurit

1 . Contrle daccs
2 . Confidentialit
3 . Intgrit
4 . Authentification
5. Non Rpudiation
6. Disponibilit
Evaluation du risque 1/2
Evaluation des risques 2/2
 Gestion des risques
L'vitement : on ne fait pas l'activit prsentant un risque.
Cette stratgie est la moins risque et la moins chre.
Frein au dveloppement de l'entreprise
L'acceptation : Le risque est accept.
Pas de protection
La rduction du risque = scurisation
Matrise des risques par les mesures de protection et de prvention
Le transfert : assurance ou toute autre forme de couverture du risque
financier ou garantie financire est contracte.
(sous-traitance directe, en cascade, co-traitance, externalisation)
 Privacy (vie prive)
informational self-determination
This means that you get to control informationabout you
droit individuel davoir un espace personnel loin de
lintrusion des autres personnes ou organisations
Control means many th:
Who gets to see it
Who gets to use it
What they can use it for
Who they can give it to
etc.
 Scurit vs fiabilit
Security vs reliability

Systme secure: secure system is one you can

rely on to:
Confidentialit des donnes personnelles
Contrle de laccs /modification les donnes
Rsultats corrects et ayant un sens
temps voulu
 Les tapes de la SI
Prvention
Analyse des risques
Dfinition d'une politique de scurit
Mise en uvre d'une solution de scurisation
Audit de la solution
Mises jour

Dtection
Raction
 Normes et standards de la SI
ISO 17799:
2000 Code de pratiques pour la gestion de la scurit de
l'information. recommandations pour assurer la
scurit de l'information.
objectifs de contrles ou de mesures de scurit rpartis en 10
domaines.
juin 2005 version(E) propose des moyens de contrle,
des mesures rduire les risques qui psent sur la SI.
Ces contrles sont rpartis par domaines, avec un objectif
de scurit nonc pour chaque domaine, dfinissant le
rsultat qui doit tre obtenu. Des contrles sont proposs
afin datteindre lobjectif de contrle recherch.
 Normes et standards de la SI (suite)
ISO 27001 = cadre dun systme de management de la scurit de
l'information (SMSI). Le SMSI s'appuie principalement sur un cycle
de gestion de la SI dit PDCA (PLAN-DO-CHECK-ACT) de la roue
de Deming.
 Normes et standards de la SI (suite)
Le PDCA (PLAN-DO-CHECK-ACT)

Plan/ poser le vrai problme, trouver les causes

Planifier racines et choisir les solutions optimales

Do / Implmentation des contrles et/ou mesures

Dployer retenus

Check / Vrifier que les actions mises en place sont

Contrler efficaces et atteignent lobjectif dfini

Act / Agir Amlioration du processus global

 Impacts de la violation de scurit

Perte de chiffre daffaires

Rputation entache
Perte/endommagement des donnes
Interruption du processus de production
Consquences jurisiques
Perte de confiance des clients
Perte de confiance des investisseurs
Scurit du SI