chapi ii3 sec

Download Chapi Ii3 Sec

Post on 22-Feb-2018

217 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 7/24/2019 Chapi Ii3 Sec

    1/42

    Cours: Scurit informatique

    (Introduction)

    Ecole Nationale des Sciences de lInformatique

    1LAABIDI Mounira

    II3-ING(ILSI, ISID,IF)

  • 7/24/2019 Chapi Ii3 Sec

    2/42

    Objectifs de la scurit

    Chapitre 1: Introduction

    2LAABIDI Mounira

    Introduire la scurit des systmes informatiques,Apprhender les notionsmenaces et Attaques,Connaitre les techniques de defenses.

  • 7/24/2019 Chapi Ii3 Sec

    3/42

    Objectifs de ce module

    3LAABIDI Mounira

    Chapitre 1: Introduction

    Objectifs de la scurit

    Plan du cours:

    CryptographieCryptographie symtriqueCryptographie asymtriqueFonction de Hachage et signature numriques

    Scurit des systmes d'exploitation et du logiciel

    Contrle daccsModles de scuritAperu darchitectures matrielles

    Scurit du logicielCode malicieux

    Coding errorsSoftware security verification

    Scurit des rseauxLes vulnrabilits du rseauLes techniques de dfenses

  • 7/24/2019 Chapi Ii3 Sec

    4/42

    Gnralits

    4

    Chapitre 1: Introduction

    LAABIDI Mounira

  • 7/24/2019 Chapi Ii3 Sec

    5/42

    LAABIDI Mounira 5

    Confidentialit

    Intgrit

    Disponibilit

    BD

    5LAABIDI Mounira

    Chapitre 1: Introduction

    La scurit Informatique ???

    Scurit Informatique :

    Mthodes, techniques et outils mis en place

    afin de protger les ressources dun systmeinformatique contre les menaces dans le but

    dassurer :

    lintgrit des informationsla confidentialit

    la disponibilit des serviceslauthentification des utilisateursla non-rpudiation

  • 7/24/2019 Chapi Ii3 Sec

    6/42

    6LAABIDI Mounira

    Confidentialit (Confidentiality)Linformation nest seulement accessiblequaux personnes autorises. Tout accs nonautoris doit tre empch.

    Intgrit (Integrity)Linformation transmise ne doit pas tre modifiedurant lenvoi.

    Disponibilit (Availability)

    Laccs aux services et ressources installesdoit tre garanti durant les plages dutilisationprvues.

    Confidentialit

    Intgrit Disponibilit

    Chapitre 1: Introduction

    Objectifs de la scurit

    La proprit CIA de la scurit:

  • 7/24/2019 Chapi Ii3 Sec

    7/42 7LAABIDI Mounira

    Chapitre 1: Introduction

    Aspects et moyens de lintgrit

    Restauration : revenir dans un tat antrieur connu et correct:undo , sauvegardes, gestion des rvisions.

    Authenticit: identit des participants une communication.

    Non-rpudiation : metteur et rcepteur dun message ne

    peuvent pas nier la transaction face un tiers.

    Auditabilit : enregistrements fiables des modificationsintervenues sur un fichier ou un systme et dtection desvnements anormaux.

  • 7/24/2019 Chapi Ii3 Sec

    8/42 8LAABIDI Mounira

    Chapitre 1: Introduction

    Aspects et moyens de la confidentialit

    Confidentialit ou contrle de lusage des donnes personnelles.

    Anonymat des communications.

    Utilisation dun pseudonyme pour une communication:Communication invisible : stganographie

  • 7/24/2019 Chapi Ii3 Sec

    9/42

    Ch i 1 I d i

  • 7/24/2019 Chapi Ii3 Sec

    10/42

    Chapitre 1: Introduction

    Menaces de la scurit

    Quels sont les Types de Menace ?

    Menaces passives : consistent couter ou copier des informationsde manire illicite

    Menaces actives : consistent altrer des informations ou le bonfonctionnement dun service

    10LAABIDI Mounira

    Passive Threats

    Interception

    (Confidentiality)

    Traffic analysisRelease of message

    contents

    Active Threats

    Modification

    (Integrity)

    Fabrication

    (authenticity)

    Interruption

    (Availability)

    Ch it 1 I t d ti

  • 7/24/2019 Chapi Ii3 Sec

    11/42

    Chapitre 1: Introduction

    Menaces de la scurit

    Origines des menaces de la scurit informatique:

    11LAABIDI Mounira

    Ch it 1 I t d ti

  • 7/24/2019 Chapi Ii3 Sec

    12/42

    La norme ISO 27005 dfinie une vulnrabilit comme:

    A weakness of an asset or group of assets that can be exploited by one or

    more threats where an asset is anything that can has value to the organization

    LIETF RFC 2828 dfinie une vulnrabilit comme:

    Aflaw or weakness in a systems design, implementation, or operation and

    management that could be exploited to violate the systems security policy

    Une vulnrabilit :

    Dfaut ou faiblesse dun systme informatique pouvant tre exploite par des menacespour obtenir un niveau daccs illicite une ressource dinformations ou des privilgessuprieurs ceux considrs comme normaux pour cette ressource.

    Chapitre 1: Introduction

    Vulnrabilits et Attaques

    12LAABIDI Mounira

    Ch it 1 I t d ti

  • 7/24/2019 Chapi Ii3 Sec

    13/42

    Chapitre 1: Introduction

    Vulnrabilits et Attaques

    La norme ISO 27000 definie une attaque comme:

    An attempt to destroy, expose, alter, disable, steal or gain unauthorized

    access to or make unauthorized use of an asset.

    where an asset is anything that can has value to the organization.

    Attaque de scurit :

    une action dexploitationdunevulnrabilit qui compromet la scuritde linformationpossde par une organisation

    13LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    14/42

    Chapitre 1: Introduction

    Vulnrabilits et Attaques

    Menace :Personne ou entit qui met un actif risqueEau

    Actif (Atout) :Objet ayant de la valeurPersonnage

    Vulnrabilit :Faille qui offre lopportunit datteindre un actifFissure dans la digue

    Impact :Perte de ou dommage un actifSubmersion du personnage

    Scnario :Exploitation dune vulnrabilit par une menacepour causer un impactLeau sinfiltre dans la fissure de la digue poursubmerger le personnage

    14LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    15/42

    Chapitre 1: Introduction

    Les Modles dAttaque

    Menaces dinterception

    - Surveillance du rseau- Vol de donnes- Espionnage

    Contre-mesures- Cryptographie et chiffrement

    - Contrle daccs : Mot de passe, biomtrie- Formation du personnel

    Atteinte la confidentialit

    15LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    16/42

    Chapitre 1: Introduction

    Les Modles dAttaque

    Atteinte lintgrit

    Menaces de modification

    - Code malicieux : Virus, Ver, Bombes logiques, --- Portes drobes- URL Malveillants-Erreurs humaines

    Contre-mesures

    - Cryptographie : Signature, authentification- Systmes de dtection dintrusion- Antivirus- Politique de sauvegarde

    16LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    17/42

    Chapitre 1: Introduction

    Les Modles dAttaque

    Atteinte la disponibilit

    Menaces de saturation- Denis de services : DOS- Email SPAM-Pannes logicielles ou matrielles

    Contre-mesures- Pare-feu- Systmes de dtection dintrusions- Clustering- Formation des administrateurs

    17LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    18/42

    Chapitre 1: Introduction

    Les Modles dAttaque

    Atteinte lauthentification

    Menaces dusurpation didentit

    - Spoofing(usurpation d'identit lectronique)-Phishing

    Contre-mesures

    - Cryptographie : Signature, authentification

    - Systmes de dtection dintrusions- Formation du personnel

    18LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    19/42

    Chapitre 1: Introduction

    Quelques chiffres

    19LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    20/42

    Chapitre 1: Introduction

    La gestion du risque

    Risque (risk): probabilit de lexploitation dune vulnrabilit par une menaceportant atteinte un actif.

    La norme ISO 27000 definie le risque comme:

    thepotential that a given threat will exploit vulnerabilities of an asset or

    group of assets and thereby cause harm to the organization. It is measured

    in terms of a combination of the probability of occurrence of an event and

    its consequence.

    Les menaces se dveloppent avec une exposition accrue: la mobilit, le cloud

    computing, les rseaux sociaux, etc.

    Les vulnrabilits augmentent avec le manque de vigilance spcialement pourles systmes complexes.

    L impact est li la valeur de l'actif attaqu.

    20LAABIDI Mounira

    Risque = Vulnrabilit * Menace * Impact

  • 7/24/2019 Chapi Ii3 Sec

    21/42

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    22/42

    Chapitre 1: Introduction

    De qui faut-il se protger ?

    Hackers

    Les hackers sont des professionnels de la scurit informatique qui recherchent etreprent les failles des systmes et rseaux au profit dune entreprise dans le but deles corriger. Cest les gentils chapeaux blancs.

    Crackers

    Les crackers sont des professionnels qui recherchent, reprent et exploitentles failles des systmes et rseaux sans autorisations et pour des butsillgaux. Cest les mchants chapeaux noirs :

    22LAABIDI Mounira

    Chapitre 1: Introduction

  • 7/24/2019 Chapi Ii3 Sec

    23/42

    Chapitre 1: Introduction

    De qui faut-il se protger ?

    Script Kiddies

    Des amateurs qui piratent en exploitant des programmes crits par dautres. Ils nedisposent que de peu de connaissances sur leur mode de fonctionnement etcherchent souvent impressionner par leurs toutes nouvelles connaissances eninformatique. Les script Kiddies ont en

View more