Sécurité informatique

Dominique PRESENT
I.U.T. de Marne la Vallée

Trois principaux risques menacent la PME

• Aujourd’hui, les pannes des systèmes d’information coûtent cher aux entreprises.
Exemple : panne d'une journée et demie pour une société logistique, dont les ordinateurs
coordonnent notamment des expéditions de produits réfrigérés à travers le monde.
Pertes : 10 000 € de l'heure.
• la panne électrique ou de réseau :
– installer un système d'alimentation sans coupure. À partir de centaines d’€uros, il fournit
une réserve d'une demi-heure - tout juste le temps de sauvegarder et de copier les fichiers
cruciaux - à quatre heures - peut-être ce qu'il faut pour terminer la journée.
• les virus, vers, chevaux de Troie :
– Installer des pare-feu (firewall) ;
– Contrôler l’accès aux ressources (profils utilisateurs, serveurs de comptes, contrôleurs de
domaines,…)
• les menaces de l'intérieur même des PME :
– .Selon l'Étude mondiale sur la sécurité de l'information (Ernst & Young), les risques liés
aux technologies de l'information proviennent majoritairement de l'insouciance, de
l'ignorance ou de la malhonnêteté des employés.
– Informer les utilisateurs des risques ;
– Edicter des règles et procédures claires et simples ;
– Contrôler les accès interdits et faire remonter les incidents

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

1
 Les éléments de la sécurité informatique

Sécurité informatique

Éléments logiciels Architecture Architecture

Règles et procédures
et matériels informatique de sauvegarde

• Usages des • antivirus • Segmentation des • Serveur de

matériels • Parefeux réseaux sauvegarde
• Usages des • Routeurs • Regroupement • Supports des
logiciels et parefeux des serveurs données
ervices • Zones • Protection des
• Règles de «démilitarisées» données
contrôle sauvegardées

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

La sécurité informatique : gérer les utilisateurs

Localement : s Droits d’accès

• le profil utilisateur Aux ressources

A distance :
• le serveur de comptes (ou
contrôleur de domaine)
Profil
serveur utilisateur
de comptes Hub Ouverture de session
authentification Droits d’accès
Les questions à se poser : Routeur
• Qui à le droit d’utiliser rl’ordinateur
é se a u
?
• A quelles ressources locales
I n t e r nl’utilisateur
e t
doit-il avoir accès et avec quels droits ?
• A quels serveurs l’utilisateur doit-il avoir
accès ?
• A quelles ressources/services du serveur
l’utilisateur doit-il avoir accès et avec quels intranet
droits ? messagerie
• A quels services Internet l’utilisateur doit-il
accéder ?

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

2
La sécurité informatique : protéger des intrusions
s protéger des
Poste client :
• le parefeu personnel
accès illicites aux Parefeu
(personnal ifrewall) services personnel

Serveur :
• le routeur parefeu
(firewall)
serveur
de comptes Hub

Routeur Routeur
ré s e a u Parefeu
In te r n e t Routeur
Parefeu
Les questions à se poser :
• Quels services peut utiliser le client sur son
poste ?
• Quels clients peuvent accéder à un serveur ? intranet
• Quels services sont accessibles aux clients messagerie
internes ?
• Quels services sont accessibles à des clients
externes ?

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

La sécurité informatique : adapter l’architecture

s comment
regrouper les serveurs Parefeu
personnel

serveur
de comptes Hub

Routeur
ré s e a u Parefeu
In te r n e t Routeur
Parefeu

Les questions à se poser :

• Quels serveurs doivent être protégés ?
• Comment segmenter le réseau pour placer les intranet
éléments de sécurité ? messagerie
• Quelles attaques sont à prendre en compte?

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

3
La sécurité informatique : adapter l’infrastructure

s protéger des
Parefeu
accès physiques personnel
illicites

Hub

Routeur
ré s e a u Parefeu
In te r n e t Routeur
Parefeu

Les questions à se poser :

• Quels locaux protégés sont à prévoir ? serveur
• Quelles attaques sont à prendre en compte? de comptes intranet
• Comment doit-on sécuriser l’accès des messagerie
locaux ?

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

la sécurité de l’information : un plan d’action

Contexte
• La sécurité de l'information est l'ensemble des mesures de sécurité prises par votre entreprise
pour préserver la confidentialité, l'intégrité et la disponibilité de l'information.
• La sécurité de l'information englobe l'ensemble des systèmes d'exploitation, réseaux de
télécommunication, logiciels, applications, documents, de même que la sécurité physique des
lieux et des équipements.
Principe
• La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique
comment assurer la sécurité de l'information.
• Il faut, selon ISO 17799:2005, définir ses objectifs de sécurité: identifier les menaces,
déterminer les vulnérabilités et procéder à l’analyse des risques identifiés (sensibilité des
informations de l’entreprise, impact économique des sinistres potentiels, probabilité de leur
survenance et coût des mesures proposées.
• La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir et
améliorer le système de gestion de la sécurité de l'information (SGSI). Le modèle suggéré
utilise une démarche d'amélioration continue qui comprend quatre étapes récurrentes :
– Planifier : définir le périmètre du SGSI, bâtir la politique de sécurité de l'information,
procéder à l'évaluation des risques, préparer le plan d'action.
– Réaliser : mettre en place le plan d'action, sensibiliser et former le personnel.
– Vérifier : s’assurer que les mesures de sécurité sont efficaces, effectuer le contrôle des
procédures, évaluer la fiabilité des données, réaliser périodiquement des audits du SGSI.
– Agir : mettre en place des mesures correctives et de prévention appropriées, implanter les
améliorations du SGSI qui ont été identifiées.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

4
 Construire une politique de sécurité : 12 thèmes
Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005,
Thème 1 - Organiser la sécurité de l'information : préciser les
rôles et responsabilités des gestionnaires, utilisateurs et
1-Organiser la fournisseurs de services. Détailler les mécanismes de sécurité
sécurité de à mettre en place pour assurer la sécurisation de l'accès des
l’information tiers aux informations et ressources de l’entreprise.
Thème 4 - Gérer les actifs informationnels : procéder à
4-Gérer les l'inventaire des données; leur déterminer un propriétaire; les
actifs catégoriser; déterminer leur niveau de protection et établir les
informationnels mesures de sécurité à mettre en place.
Thème 2 - Bâtir une politique de sécurité de l’information :
indiquer les éléments à considérer et le contenu de la
1-Organiser la politique de sécurité de l'information.
sécurité de Thème 3 - Gérer les risques de sécurité : analyser
l’information et évaluer les menaces, impacts et vulnérabilités
auxquels les données sont exposées et la probabilité
3-Gérer les 2-bâtir une de leur survenance. Déterminer les mesures de
risques de politique de sécurité pouvant être implantées pour réduire les
sécurité sécurité
risques et leur impact à un coût acceptable.
12-prévoir la Thème 12 - Prévoir la continuité des activités : décrire les façons
continuité des de faire pour élaborer un plan de continuité et de relève des
activités services, de même qu'un plan de sauvegarde des données et des
applications de votre entreprise.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

La politique de sécurité : gérer les incidents

Thème 10 - Gérer l'acquisition, le 12-prévoir la
développement et l'entretien des systèmes continuité des
: indiquer les règles de sécurité à observer activités
dans l'acquisition, le développement, 10-Gérer
l'implantation d'applications et de logiciels. l’acquisition, le 11-Gérer les
Thème 7 - Assurer la sécurité physique et développement incidents de
environnementale : préciser les mesures à et l’entretien des sécurité
mettre en place pour sécuriser le matériel et systèmes
éviter les accès non autorisés dans les
locaux.
7-Assurer la
Thème 11 - Gérer les incidents de sécurité : sécurité physique 5-Assurer la sécurité
indiquer les comportements à adopter lors et des ressources
de la détection d'un incident de sécurité; environnemental humaines
mettre en place un processus de gestion des
incidents de sécurité.
Thème 5 - Assurer la sécurité des ressources 9-Gérer les
humaines : indiquer au personnel les communications 8-Contrôler les
et les opérations accès
bonnes pratiques à utiliser et faire un bon
usage de leur équipement informatique.
Thème 6 – Vérifier la conformité : s’assurer1-Organiser la
que les règles et procédures sont bien sécurité de 6-Vérifier la
conformité
appliquées et qu’elles sont aux normes l’information

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

5
 Organiser la sécurité de l’information
Règles et pratiques
• Rôles et responsabilités :
– implanter des règles de conduite et partager les responsabilités entre les différents
intervenants de votre entreprise.
– définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifs
informationnels.
– Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprise
reposent sur :
• les gestionnaires qui en assurent la gestion ;
• les utilisateurs des actifs informationnels;
• les tiers, fournisseurs de services et contractuels.
– Le dirigeant de votre entreprise a comme responsabilités de :
• désigner un responsable de la sécurité des systèmes d'information (RSSI);
• valider la politique globale de sécurité, les orientations et les directives.
– Le comité de la sécurité de l'information doit :
• recommander les orientations et les directives au dirigeant de l’entreprise;
• approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise;
• assurer le suivi du plan d'action de sécurité.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Organiser la sécurité de l’information

– Le responsable de la sécurité coordonne la sécurité de l'information. À cet effet, il doit :
• élaborer et assurer le suivi et la mise à jour périodique du plan d'action;
• communiquer au personnel, aux clients et partenaires de l'entreprise les orientations
de sécurité de l'information;
• veiller au respect de la politique de sécurité de l'information ainsi qu'à la protection
des renseignements personnels et sensibles;
• informer périodiquement le comité de l'état d'avancement des dossiers.
– Le propriétaire d'un actif informationnel doit :
• assurer la gestion de la sécurité de son actif informationnel;
• autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des
données ou informations dont il est propriétaire;
• veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en places
et appliquées.
• Gestion des accès des utilisateurs externes
– Le responsable de la sécurité doit contrôler les accès par des tiers aux infrastructures de
traitement de l'information de l’entreprise, évaluer les risques, valider les mesures à
appliquer et les définir sous forme de contrat avec le tiers en question.
– Dans le cas de sous-traitance le contrat établit les clauses sur les mesures et procédures de
sécurité pour les systèmes d'information, réseaux, infrastructures technologiques,
informations ou données sensibles. Il inclut également les règles d’habilitation pour le
personnel devant avoit accès à de l'information sensible ou confidentielle.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

6
 Bâtir une politique de sécurité implique l’entreprise
Thème 2
Contexte
Une politique de sécurité de l'information est un ensemble de documents émanant de la direction
de votre entreprise et indiquant les directives, procédures, lignes de conduite et règles
organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa
gestion. Une telle politique constitue un engagement et une prise de position claire et ferme
de la direction de protéger ses actifs informationnels.
Principe
Pour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut
vous servir de guide et de référence.
• Règles et politiques
– identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifs
informationnels de votre entreprise selon leur degré de sensibilité.
– protéger les informations et ressources considérées comme vitales ou importantes pour
votre entreprise, soit des :
– systèmes d'information (application, logiciel, etc.);
• éléments de l'infrastructure technologique (serveur, réseau de télécommunications,
réseau téléphonique, etc.);
• types de documents (contrat, procédure, plan, procédé de fabrication, etc.);
• installations (immeuble, local, etc.).

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Une politique de sécurité conduit à des procédures

– La politique de sécurité de l'information devra contenir les éléments suivants :
• confirmer l'engagement de la direction;
• désigner une personne responsable de la sécurité de l'information;
• identifier ce qui doit être protégé;
• identifier contre qui et quoi vous devez être protégé;
• inclure des considérations de protection de l'information;
• encadrer l'utilisation des actifs informationnels;
• tenir compte de la conservation, de l'archivage et de la destruction de l'information;
• tenir compte de la propriété intellectuelle;
• prévoir la réponse aux incidents et préparer une enquête, s'il y a lieu;
• informer vos utilisateurs que les actes illégaux sur les informations et ressources de
l'entreprise sont interdits.
– La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les
éléments suivants :
– une politique globale;
– des directives;
– des procédures, standards et bonnes pratiques.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

7
 De la politique d’entreprise aux procédures
Niveau 1 : Politique globale
engagement et prise de position Niveau 1
ferme et claire de la direction de Politique globale
l'entreprise quant à la protection à
accorder aux actifs
informationnels.
Niveau 2 : Directives Niveau 2
mesures concrètes déterminant, la directives
façon de procéder en vue d'assurer
la sécurité des actifs
informationnels.
Elles peuvent porter,
par exemple, sur Niveau 3
l'utilisation d'Internet, du procédures Standards pratiques
courrier électronique ou
des écrans de veille.
Niveau 3 : Procédures, standards et bonnes pratiques
Procédures : décrivent en détail toutes les étapes d'un processus humain ou technologique
d'implantation ou d'opération d'une mesure de sécurité.
Standards : définissent les règles et mesures à respecter en attendant une normalisation par un
organisme officiel de normalisation.
Pratiques : assurent que les contrôles de sécurité ainsi que les processus de soutien nécessaires sont
implantés de façon constante et adéquate à travers l'entreprise.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Protéger les actifs informationnels : les 3 étapes

• Étape 1 : Déterminer les actifs informationnels à catégoriser
– Faire un inventaire des actifs informationnels regroupés par :
• système d’information;
• élément de l'infrastructure technologique (serveur, réseau de télécommunication,
réseau téléphonique, etc.);
• type de document (contrat, procédure, plan, etc.) ;
• environnement physique (immeuble, local…).
– Attribuer un propriétaire, une catégorie et une valeur à chaque actif informationnel (les
actifs informationnels à catégoriser sont ceux pour lesquels une atteinte à la sécurité peut
avoir des conséquences négatives pour votre entreprise).
• Étape 2 : Catégoriser les actifs informationnels
– Donner des valeurs (élevée, moyenne ou basse) aux attributs disponibilité (D), intégrité (I)
et confidentialité (C) selon le contexte d'utilisation des actifs informationnels de
l'entreprise. Les contextes d'utilisation retenus sont : les postes autonomes ou mobiles, le
réseau fermé et le réseau ouvert.
– Il est recommandé d'effectuer après cette étape une évaluation et une analyse des risques.
• Étape 3 : Déterminer les mesures de sécurité à appliquer pour protéger les actifs
informationnels
– Indiquer les mesures de sécurité qui à appliquer, à partir du contexte d’utilisation de
chaque actif. Cette étape est répétée autant de fois qu’i l y a d'actifs à catégoriser.

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

8
 Le VPN : un réseau privé à travers Internet
Un réseau virtuel privé (VPN) permet d’envoyer des données de manière
sécurisée entre les ordinateurs de deux domaines privés (LAN) à travers un
réseau d’opérateur (WAN).
Le VPN revient à créer un « tunnel privé » à travers un réseau d’opérateur
utilisant IP, comme Internet.

Internet
r é s e a u lo c a l
Routeur

Serveur
Routeur
r é s e a u " b r o c e l ia n "

• les données suivent toutes le même chemin

• les données peuvent être cryptées

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Extranet : VPN ou LS, une question de coût

VPN
LS
POP opérateur
Routeur Internet POP LS
opérateur
Routeur
télécom opérateur
télécom
ré s e a u lo c a l
Routeur Serveur
Routeur
Routeur
ré s e a u " b ro c e l ia n "
o p é ra te u r
té lé c o m Routeur

LS

Liaison spécialisée : VPN :

• bande passante garantie · bande passante non garantie
• pas de qualité de service · qualité de service possible
• sécurité à préciser · sécurité par cryptage

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

9
 Client mobile : le VPN simplifie la
procédure
VPN POP
LS opérateur
POP RTC local client
opérateur Serveur

Routeur Internet
opérateur
télécom Routeur
Routeur
Prestataire
de service
ré s e a u lo c a l FAI
Routeur hôtel
Serveur de
connexion o p é ra te u r
R T C
Ligne
ADSL

VPN : ADSL : Prestataire : serveur propre :

• service VPN + · accès Wi-Fi · prestataire + · connexion RTC
RTC local RTC
• débit 56Kb/s · haut débit · débit 56Kb/s · débit 56Kb/s
• pas de coût · pas de coût · pas de coût · maintenance du
de maintenance de maintenance de maintenance serveur de connexion

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Architecture : serveur, tunnel et protocoles

• protocole de Tunneling : crypte et encapsule les données échangées entre le serveur
et le client par l’un des principaux protocoles L2TP/IPsec, SSL ou PPTP
• connexion VPN : connexion établie entre le serveur et le client

Serveur VPN :
fournit la connexion Inter-réseau de transit :
Réseau public traversé

Internet
r é s e a u lo c a l
Routeur

Serveur
Routeur
r é s e a u " b r o c e l ia n "
tunnel : Chemin
des données

client VPN :
initie la connexion

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

10
 Paramétrer authentification et cryptage sous XP
• Sous Windows XP, la configuration du paramétrage de l’authentification et de la
sécurité autorise des combinaisons ci-dessous :

validation Cryptage Authentification : Mise en oeuvre

requis protocoles
Exiger un mot de non CHAP ; MS-CHAP ; Cryptage optionnel
passe MS-CHAP v2
Exiger un mot de oui CHAP ; MS-CHAP ; Cryptage éxigé
passe MS-CHAP v2
Carte à puce non EAP/TLS Cryptage optionnel
Carte à puce oui EAP/TLS Cryptage éxigé
• Pour L2TP, le cryptage utilise IPSec
• Pour PPTP, le cryptage utilise MPPE (Microsoft Point-To-Point Encryption) avec
des clés de 40 bits à 128 bits
• Les données sont cryptées uniquement si l’authentification CHAP ou EAP est
négocié
• CHAP v2 et EAP/TLS sont des protocoles d’authentification mutuelle (client et
serveur vérifient leur identité)
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Le paramétrage sous Windows XP

Les paramètres
d’ouverture de session
sont utilisés pour
l’authentification

Paramètres Protocoles
d’authentification d’authentification
autorisés
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

11