Téléverser un fichier

chapitre iii

prev
next
out of 9
Download Chapitre III

Upload: ndodet

Post on 02-Mar-2016

6 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Squence III La notion de scurit des systmes dinformation

    Section 1 : Gnralits sur la Scurit des systmes d'information A. Dfinition et contenu du systme dinformation B. La scurit des systmes dinformation Section 2. Les enjeux de la scurit des systmes d'information A. Les enjeux matriser B. Les menaces, attaques et potentiels dommages dun systme dinformation Objectifs

    - Connaitre la notion de systme dinformation et de scurit dun systme - Connaitre les menaces, attaques et dommages pouvant affecter le SI

    Introduction Les systmes dinformation font dsormais partie intgrante du fonctionnement des administrations publiques, de lactivit des entreprises et du mode de vie des citoyens. Les services quils assurent nous sont tout aussi indispensables que lapprovisionnement en eau ou en lectricit. Cest dire si la scurit des systmes dinformation (SSI) est un enjeu national voire international. Pour ltat il sagit dun enjeu de souverainet nationale. Il a, en effet, la responsabilit de garantir la scurit de ses propres systmes dinformation, la continuit de fonctionnement des institutions et des infrastructures vitales pour les activits socio-conomiques du pays et la protection des entreprises et des citoyens. De leur ct, les entreprises doivent protger de la concurrence et de la malveillance leur systme dinformation qui irrigue lensemble de leur patrimoine (proprit intellectuelle et savoir-faire) et porte leur stratgie de dveloppement. La scurit des systmes dinformation est donc un vritable dfi, la fois technologique et conomique. Lenvironnement li aux technologies de linformation et de la communication est la cible de nombreuses menaces. Tous les utilisateurs identifient au quotidien la menace constante des virus et des vers qui submergent Internet. Leur nombre a explos au cours de ces dernires annes et ceux-ci deviennent de plus en plus sophistiqus. Les outils ncessaires aux pirates sont aisment accessibles en ligne et il existe un change constant dinformation et de savoir-faire au sein de la communaut des pirates pour rendre ces attaques de plus en plus efficaces. Cependant, leur dsir de performance cde de plus en plus le pas au dveloppement dentreprises criminelles dont les activits en ligne se sont accrues paralllement la dimension conomique dInternet. Le nombre de fraudes se traduit chaque anne par des cots slevant des milliards deuros, en particulier pour les banques et les entreprises. Louverture des rseaux et leur complexit croissante associant des acteurs aux multiples profils, ont renforc la vulnrabilit des systmes dinformation. Dtruire, altrer, accder des donnes sensibles dans le but de les modifier ou de nuire au bon fonctionnement des rseaux : les motivations sont diverses et fonction de la nature des informations recherches et de lorganisme vis. Quelles formes prennent les attaques ? De qui manent-elles ? Quelle est leur finalit ? il sagira pour nous denvisager les gnralits sur la scurit des systmes dinformation (SSI) (section 1) et les enjeux de la SSI (section 2)

  • Section 1 : Gnralits sur la Scurit des systmes d'information (SSI)

    Parler de la SSI ncessite que soit pralablement dfinie les notions qui la constituent : systme dinformation et SSI.

    A. Dfinition et contenu du systme dinformation

    On entend par systme dinformation (SI) un ensemble de machines connectes entre elles de faon permanente ou temporaire permettant une communaut de personnes physiques ou morales dchanger des donnes (sons, images, textes, etc.). Selon cette dfinition, des systmes aussi varis que le rseau dun oprateur de tlphonie, le site Internet dun ministre, lordinateur individuel du particulier ou le rseau de commandement des forces armes sont des systmes dinformation. De fait, la base de tout fonctionnement dentreprise, il y a des informations utilises par une ou plusieurs personnes. Pour traiter, stocker et transmettre ces informations, les collaborateurs utilisent des outils (informatiques ou pas) et agissent selon des procdures dutilisation (envoyer un email, crer ou archiver un document ). Cet ensemble organis de moyens techniques, administratifs, et humains permettant de grer linformation dans lentreprise sappelle un systme dinformation (SI). La notion de systme d'information renvoie donc aux moyens dont le fonctionnement fait appel, d'une faon ou d'une autre, l'lectricit et (qui sont) destins laborer, traiter, stocker, acheminer ou prsenter l'information. Chaque organisation dtient des informations sensibles pour son fonctionnement et sa prennit. Si celles-ci tombaient entre les mains de tierces personnes le potentiel de lentreprise pourrait sen trouver amoindrit. Ces informations peuvent tre : les travaux dinnovation, le savoir-faire technologique, le contenu doffres commerciales, la structure des comptes financiers, les fichiers clients, les projets de dveloppement, le fonctionnement de lentreprise). Ces pourquoi les informations les plus sensibles doivent faire lobjet de procdures renforces de protection. Le systme dinformation comprend ncessairement cet effet : - le ou les serveurs rseau et des postes de travail informatique (fixes et nomades) ; - les applications (systmes dexploitation, suites bureautiques, logiciels mtiers ) ; - les infrastructures de communication et de tlcommunication (rseaux locaux, liaisons intersites, rseau tlphonique, accs Internet, liaison radio ).

    B. La scurit des systmes dinformation

    La comprhension du concept de SSI ncessite quil soit dfini et que les critres de cette scurit soient prciss.

    1. Dfinition de la SSI

    La scurit des systmes dinformation (SSI) est lensemble des moyens techniques, organisationnels, juridiques et humains ncessaire et mis en place pour conserver, rtablir, et garantir la scurit du systme d'information. Assurer la scurit du systme d'information est une activit du management du systme d'information.

    Selon une Directive gouvernementale 4201/SG du 13 avril 1995 Scurit des systmes d'information (France) ; la scurit de l'information doit tre un souci gnral, tandis que celle des systmes

  • d'information est une obligation nationale majeure, sous rserve de ne pas porter atteinte la scurit de l'Etat ni l'ordre public. Elle prsente notamment les objectifs en la matire, les moyens mettre en uvre et l'organisation mise en place ces fins.

    2. Les critres de scurit

    La scurit peut s'valuer suivant plusieurs critres :

    Disponibilit : garantie que ces lments considrs sont accessibles au moment voulu par les personnes autorises.

    Intgrit : garantie que les lments considrs sont exacts et complets.

    Confidentialit : garantie que seules les personnes autorises ont accs aux lments considrs.

    D'autres aspects peuvent ventuellement tre considrs comme des critres (bien qu'il s'agisse en fait de fonctions de scurit), tels que :

    Traabilit (ou Preuve ) : garantie que les accs et tentatives d'accs aux lments considrs sont tracs et que ces traces sont conserves et exploitables.

    Une fois les lments sensibles dtermins, les risques sur chacun de ces lments peuvent tre estims en fonction des menaces qui psent sur les lments protger. Il faut pour cela estimer :

    la gravit des impacts au cas o les risques se raliseraient ; la vraisemblance des risques (ou leur potentialit, ou encore leur probabilit d'occurrence).

    Section 2. Les enjeux de la scurit des systmes d'information

    Avec le dveloppement du travail distance et des nouvelles technologies le risque sur le systme dinformation, sest accru. Deux principales situations sont la base des atteintes au systme dinformation : ce sont les maladresses internes, (volontaires ou non) ou labsence de sauvegardes fiables qui sont lorigine de la perte ou de la destruction dinformations sensibles ; les actes externes mal intentionns. L'entreprise doit de ce fait concilier la ncessit de communiquer des informations et de prserver certaines dentre elles en mettant en place une politique de scurit de son systme dinformation (SSI). Pour tre efficace, cette politique de scurisation du systme dinformation doit sappuyer sur la mise en place de moyens techniques mais son efficacit reposera galement fortement sur l'organisation du processus dans lentreprise et sur les comportements individuels. Par ailleurs, la scurit des systmes dinformation reprsente galement un avantage concurrentiel car elle offre la garantie aux clients et partenaires que les informations confidentielles, confies lentreprise (cahiers des charges, plans), sont protges.

    Jean Franois PILLOU pense cet effet que Le systme d'information reprsente un patrimoine essentiel de lorganisation, qu'il convient de protger. La scurit informatique consiste garantir que

  • les ressources matrielles ou logicielles d'une organisation sont uniquement utilises dans le cadre prvu.

    A. Les dfis majeurs de la SSI

    Pour assurer la scurit du SI, il est ncessaire que les aspects suivants soient matriss par les organisations.

    1. L'intgrit : Les donnes doivent tre celles que l'on s'attend ce qu'elles soient, et ne doivent pas tre altres de faon fortuite ou volontaire.

    2. La confidentialit : seules les personnes autorises ont accs aux informations qui leur sont destines. Tout accs indsirable doit tre empch.

    3. La disponibilit : Le systme doit fonctionner sans faille durant les plages d'utilisation prvues, garantir l'accs aux services et ressources installes avec le temps de rponse attendu.

    4. La non-rpudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les oprations qu'il a ralises dans le cadre de ses actions autorises, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.

    5. L'authentification : L'identification des utilisateurs est fondamentale pour grer les accs aux espaces de travail pertinents et maintenir la confiance dans les relations d'change.

    La scurit informatique est un dfi d'ensemble qui concerne une chaine d'lments : Les infrastructures matrielles de traitement ou de communication, les logiciels (systmes d'exploitation ou applicatifs), les donnes, le comportement des utilisateurs. Le niveau global de scurit tant dfini par le niveau de scurit du maillon le plus faible, les prcautions et contre-mesures doivent tre envisages en fonction des vulnrabilits propres au contexte auquel le systme d'information est cens apporter service et appui.

    B. Les menaces, attaques et potentiels dommages dun systme dinformation

    1. Les Menaces

    Les principales menaces auxquelles un systme dinformation peut tre confront sont :

    a. Un utilisateur du systme : l'norme majorit des problmes lis la scurit d'un systme d'information a pour origine un utilisateur, gnralement insouciant. Il n'a pas le dsir de porter atteinte l'intgrit du systme sur lequel il travaille, mais son comportement favorise le danger ;

    b. Une personne malveillante : une personne parvient s'introduire sur le systme, lgitimement ou non, et accder ensuite des donnes ou des programmes auxquels elle n'est pas cense avoir accs. Le cas frquent est de passer par des logiciels utiliss au sein du systme, mais mal scuriss;

    c. Un programme malveillant : un logiciel destin nuire ou abuser des ressources du systme est install (par mgarde ou par malveillance) sur le systme, ouvrant la porte des intrusions ou modifiant les donnes ; des donnes confidentielles peuvent tre collectes l'insu de l'utilisateur et tre rutilises des fins malveillantes ;

  • d. Un sinistre (vol, incendie, dgt des eaux) : une mauvaise manipulation ou une malveillance entranant une perte de matriel et/ou de donnes.

    2. Les attaques

    Ces attaques sont nombreuses et varies. Nous pouvons citer :

    a. La destruction de matriels ou de supports travers le sabotage

    Ce sabotage vise la mise hors service d'un SI ou de l'une de ses composantes en portant atteinte l'intgrit des donnes et surtout la disponibilit des services.

    b. Les rayonnements lectromagntiques pour brouiller

    Ce brouillage est une attaque de haut niveau qui vise rendre le SI inoprant.

    c. Lcoute passive

    Elle consiste tout dabord se placer sur un rseau informatique ou de tlcommunication pour collecter et analyser les informations ou les trames qui y circulent. Ensuite il y a Interception de signaux compromettants : Ici, l'attaquant tente de rcuprer un signal lectromagntique pour l'interprter et en dduire des informations utilisables. Enfin il ya Cryptanalyse : L'attaque de donnes cryptes est ralise par interception et analyse des cryptogrammes circulant lors d'une communication ou obtenus par une source quelconque.

    e. Le vol

    Ce vol peut seffectuer de plusieurs faons : Fraude physique : elle consiste accder l'information par copie illgale des supports physiques (bandes magntiques, disquettes, disques classiques ou optiques, listings rangs ou abandonns imprudemment dans les bureaux, armoires, tiroirs ...) Vol de matriels : concerne les ordinateurs et en particulier les ordinateurs portables. Analyse de supports recycls ou mis au rebut : "fouille" des poubelles ou des archives d'une organisation ou dtournement des processus de maintenance.

    f. La divulgation

    Hameonnage ou filoutage (Phishing) : dsigne l'obtention d'information confidentielle (comme des codes d'accs ou des mots de passe) en prtextant une fausse demande ou en faisant miroiter un pseudo-avantage auprs d'un utilisateur cibl. Chantage : menace exerce vis--vis d'une personne prive ou d'une organisation en vue d'extorquer une information "sensible".

    g. mission d'une information sans garantie d'origine

  • Canular (Hoax) : Vise dsinformer en annonant l'arrive d'un vnement de nature imaginaire mais cens tre fortement perturbateur voire catastrophique (virus)

    h. Pigeage du logiciel

    Bombe : Programme dormant dont l'excution est conditionn par l'occurrence d'un vnement ou d'une date. Virus : Programme malicieux capable de faire fonctionner des actions nuisibles pour le SI, et ventuellement de se rpandre par rplication l'intrieur d'un SI. Les consquences sont le plus souvent la perte d'intgrit des donnes d'un SI, la dgradation voire l'interruption du service fourni. Ver : Programme malicieux qui a la facult de se dplacer travers un rseau qu'il cherche perturber en le rendant totalement ou partiellement indisponible. Pigeage du logiciel : Des fonctions caches sont introduites l'insu des utilisateurs l'occasion de la conception, fabrication, transport ou maintenance du SI. Exploitation d'un dfaut (bug) : Les logiciels - en particulier les logiciels standards les plus rpandus- comportent des failles de scurit qui constituent autant d'opportunit d'intrusion indsirables. Canal cach : Type d'attaque de trs haut niveau permettant de faire fuir des informations en violant la politique de scurit du SI. Les menaces peuvent concerner 4 types de canaux cachs : Canaux de stockage, Canaux temporels, Canaux de raisonnement, Canaux dits de "fabrication". Cheval de Troie : C'est un programme ou un fichier introduit dans un SI et comportant une fonctionnalit cache connue seulement de l'agresseur. L'utilisation d'un tel programme par l'utilisateur courant permet l'attaquant de contourner les contrles de scurit en se faisant passer pour un utilisateur interne. Rseau de robots logiciels (Botnet) : rseau de robots logiciels installs sur des machines aussi nombreuses que possible. Les robots se connectent sur des serveurs IRC (Internet Relay chat) au travers desquels ils peuvent recevoir des instructions de mise en uvre de fonctions non dsires. (Envoi de spams, vol d'information, participation des attaques de saturation ...) Logiciel espion (spyware): est install sur une machine dans le but de collecter et de transmettre un tiers des informations sans que l'utilisateur en ait connaissance. Facticiel: logiciel factice disposant de fonctions caches.

    i. Saturation du Systme informatique

    Perturbation : Vise fausser le comportement du SI ou l'empcher de fonctionner comme prvu (saturation, dgradation du temps de rponse, gnration d'erreurs). Saturation : Attaque contre la disponibilit visant provoquer un dni de service (remplissage forc d'une zone de stockage ou d'un canal de communication). Pourriel (spam) : Envoi massif d'un message non sollicit vers des utilisateurs n'ayant pas demand recevoir cette information. Cet usage - non forcment hostile- contribue cependant la pollution et la saturation des systmes de messagerie.

    j. Utilisation illicite des matriels

    Dtournement d'utilisation normale : Utilise un dfaut d'implantation ou de programmation de manire faire excuter distance par la machine victime un code non dsir, voire malveillant.

  • Fouille : En cas de mauvaise gestion des protections informatiques, celles-ci peuvent tre contournes et laisser accder aux fichiers de donnes par des visiteurs non autoriss. Mystification : Simulation du comportement d'une machine pour tromper un utilisateur lgitime et s'emparer de son nom et mot de passe Trappe : Fonctionnalit utilise par les dveloppeurs pour faciliter la mise au point de leurs programmes. Lorsqu'elle n'est pas enleve avant la mise en service du logiciel, elle peut tre repre et servir de point de contournement des mesures de scurit. Asynchronisme : Ce mode de fonctionnement cre des files d'attente et des sauvegardes de l'tat du systme. Ces lments peuvent tre dtects et modifis pour contourner les mesures de scurit. Souterrain : Attaque cible sur un lment supportant la protection du SI et exploitant une vulnrabilit existant un niveau plus bas que celui utilis par le dveloppeur pour concevoir/tester sa protection. Salami : Comportement d'un attaquant qui collecte des informations de manire parcellaire et imperceptible, afin de les synthtiser par la suite en vue d'une action rapide. (Mthode frquemment utilise pour les dtournements de fonds). Infrence sur les donnes : L'tablissement d'un lien entre un ensemble de donnes non sensibles peut permettre dans certains cas de dduire quelles sont les donnes sensibles.

    k. Altration des donnes

    Interception : C'est un accs avec modification des informations transmises sur les voies de communication avec l'intention de dtruire les messages, de les modifier, d'insrer des nouveaux messages, de provoquer un dcalage dans le temps ou la rupture dans la diffusion des messages. Balayage (scanning): La technique consiste envoyer au SI des informations afin de dtecter celles qui provoquent une rponse positive. Par suite l'attaquant peut analyser les rponses reues pour en dgager des informations utiles voire confidentielles ( nom des utilisateurs et profil d'accs )

    l. Abus de Droit

    Abus de droit : caractrise le comportement d'un utilisateur bnficiaire de privilges systmes et/ou applicatifs qui les utilise pour des usages excessifs, pouvant conduire la malveillance.

    m. Usurpation de Droit

    Accs illgitimes : Lorsqu'une personne se fait passer occasionnellement pour une autre en usurpant son identit Dguisement : Dsigne le fait qu'une personne se fait passer pour une autre de faon durable et rpte en usurpant son identit, ses privilges ou les droits d'une personne vise. Rejeu : Variante du dguisement qui permet un attaquant de pntrer un SI en envoyant une squence de connexion d'un utilisateur lgitime et enregistre son insu. Substitution : Sur des rseaux comportant des terminaux distants, l'interception des messages de connexion-dconnexion peut permettre un attaquant de continuer une session rgulirement ouverte sans que le systme ne remarque le changement d'utilisateur. Faufilement : Cas particulier o une personne non autorise franchit un contrle d'accs en mme temps qu'une personne autorise.

  • n. Reniement d'actions

    Le reniement (ou rpudiation) consiste pour une partie prenante une transaction lectronique nier sa participation tout ou partie de l'change d'informations, ou prtendre avoir reu des informations diffrentes (message ou document) de ceux rputs avoir t raliss dans le cadre du SI.

    3. Les dommages

    Deux types de dommages peuvent affecter le systme d'information d'une organisation: les dommages financiers, la perte de crdibilit travers la chute ou la perte de limage de marque.

    a. Les dommages financiers

    Sous forme de dommages directs (comme le fait d'avoir reconstituer des bases de donnes qui ont disparu, reconfigurer un parc de postes informatiques, rcrire une application) ou indirects (par exemple, le ddommagement des victimes d'un piratage, le vol d'un secret de fabrication ou la perte de marchs commerciaux). Un exemple concret : bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont t avances suite des dommages causs par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux lis au vol de numros de cartes de crdit, ont t dtermins plus prcisment.

    b. La perte ou la baisse de l'image de marque

    Perte directe par la publicit ngative faite autour d'une scurit insuffisante (cas du hameonnage par exemple) ou perte indirecte par la baisse de confiance du public dans une socit. Par exemple, les techniques rpandues de defacing (une refonte d'un site web) permettent une personne mal intentionne de mettre en vidence des failles de scurit sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnrabilits pour diffuser de fausses informations sur son propritaire (on parle alors de dsinformation).

    Les consquences peuvent aussi concerner la vie prive d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme ses coordonnes bancaires, sa situation patrimoniale, ses codes confidentiels. De manire gnrale, la prservation des donnes relatives aux personnes fait l'objet d'obligations lgales rgies par la Loi Informatique et Liberts.

    Pour parer ces ventualits, les responsables de systmes d'information se proccupent depuis longtemps de scuriser les donnes. Le cas le plus rpandu, et sans aucun doute prcurseur en matire de scurit de l'information, reste la scurisation de l'information stratgique et militaire : Le Department of Defense (DoD) des tats-Unis est l'origine du TCSEC, ouvrage de rfrence en la matire. De mme, le principe de scurit multi-niveau trouve ses origines dans les recherches de rsolution des problmes de scurit de l'information militaire.

    Aujourd'hui, l'hypothse raliste demeure que la scurit ne peut tre garantie 100 % et requiert le plus souvent la mobilisation d'une panoplie de mesures y compris celle des leurres reposant sur

  • l'ide qu'interdire ou en tout cas protger l'accs une donne peut consister fournir volontairement une information calibre et visible servant de paravent l'information sensible

    Rfrences bibliographiques

    PILLOU Jean-Franois, Tout sur les systmes d'information, Paris Dunod 2006, Collect Commentcamarche.net REIX R. Systme dinformation et management des organisations, Vuibert, 4me dition, Paris, 2002. TRAN Pierre, Thales Combines Cybersecurity Efforts, Defense News, le 1er juillet 2011. De COURCY R., Les systmes d'information en radaptation, Qubec, Rseau international CIDIH et facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10 BAKOS Y., Information technology and corporate strategy, MIS Quaterly, n2, 1986 CYERT R.M., March James., Processus de dcision dans lentreprise , Dunod, 1970 KARSENTI G., La fin du paradoxe de l'informatique, ditions d'Organisation, Paris, 1999 HABERMAS J., Thorie de lagir communicationnel, Fayard, Paris, 1987 SHANNON C., WEAVER W., The Mathematical theory of communication, The university of Illinois Press, 1949 ROWE F., ZITI A., Cognition individuelle et systmes dinformation , Systmes dinformation et Management, vol5, n 4, 2002. http://fr.wikipedia.org/


Chapitre 4 - Wikis · Chapitre 4 III. Transport III.1 A l’équilibre thermique III.2 Conductivité sous l’effet d’un champ électrique III.3 Conductivité sous l’effet d’un

Conversion électromécanique Chapitre III : Machines à ...sertella.free.fr/cours_psi_physique/conversion/conversion chapitre... · Conversion de puissance. Chapitre III : Machines

CHAPITRE III VECTEURS

CHAPITRE III : L ’EMAGRAMME

CHAPITRE III METHODES D’ANALYSE

04 Chapitre III

Objectifs du Chapitre III

CHAPITRE III - CH Carcassonne

Chapitre III - fsnv.univ-setif.dz

CHAPITRE III : FONDEMENTS ET PRINCIPES DE LA … · Ecole Supérieure des Affaires Marc R. FIEVET – comptabilité générale & droit comptable – tome I Chapitre III CHAPITRE III

Chapitre III Les cristaux ioniques

Chapitre III - fad.umi.ac.ma

Chapitre III : Le transistor MOS

CHAPITRE III: LA PSYCHOPHYSIQUE. CHAPITRE I: Le domaine de la perception CHAPITRE II: La psychophysique CHAPITRE V: L attention CHAPITRE III: La perception

Chapitre III : Moteurs thermiques

Monodie, bourdon, polyphonie Musique au Moyen Age chapitre III Musique au Moyen Age chapitre III

Chapitre III Sèdimentologique

Chapitre III : Optique géométrique

Chapitre III Va Discretes

Horizons stratégiques - Chapitre III

THESE Hashem- Chapitre III

chapitre iii : physiologie réspiratoire

Chapitre III Systèmes polyélectroniques

Introduction 4 Chapitre I Chapitre II Chapitre III Chapitre IV Conclusion

CHAPITRE III HYDRAULIQUE SOUTERRAINE

CHAPITRE III: LA PERCEPTION VISUELLE CHAPITRE I: Le domaine de la perception CHAPITRE II: La psychophysique CHAPITRE V: L attention CHAPITRE III: La

Chapitre III

Chapitre III Ox Red

CHAPITRE III GEOMETRIE - LMRL

Chapitre III - Corps nis

Chapitre III Génération d'Impulsions (signaux)

Chapitre III: Structure spatiale des protéines III.1 ... · Chapitre III: Structure spatiale des protéines Les liaisons électrostatiques III.2.2. Les liaisons non covalentes Se

Chapitre iii application pratique 1

CHAPITRE III : L’ADMINISTRATION DE L’EGLISE

CHAPITRE III